مصطلحات في مجال الامن السيبراني - الهكر الأخلاقي

-مصطلحات في مجال الأمن السبيراني (الهاكر الأخلاقي )

في هذا اليوم سنشرح ماهي الثغرة vulnerability ؟.  وماهو الإستغلال exploit ؟.  وما هو البايلود payload ؟.  

لنتخيل السيناريو التالي لدي موقع يسمح لي برفع الصور عليه و نريد فحص أمان هذا الموقع فيأتي الهاكر ويقوم برفع بايلود بشكله الأصلي فلا يمكنه ذلك لأن الموقع يتحقق بأن الملف في الأخير هو صورة أي png فيقوم الهاكر بالتلاعب بالبايلود ووضع في آخره .png ثم يحاول رفعه مرة أخرى بوووم تم رفع البايلود بنجاح رغم أنه ليس صورة فهذه ثغرة وقد قمنا بإستغلالها  بإظافة صيغة png إلى البايلود والآن  إخترقنا الموقع ونحن نتحكم به بشكل كامل .

حسنا الآن سنشرح المصطلحات 

أولا :

ماهي الثغرة vulnerability ؟

الثغرة بشكل مختصر هي ضعف في بنية النظام وليست خطأ برمجي كما يشاع لها فالخطأ البرمجي يسبب في توقف البرنامج أو قد لايعمل أساسا لكن الثغرة تكون في برنامج خالي من الأخطاء لكن فيه أكواد غير متكاملة مثلا هذا  سيرفر يسمح برفع صور ولا   يقوم بالتحقق بشكل جيد من الملفات المرفوعة عليه مما يجعل المهاجم attacker يستغل هذه الثغرة .

ثانيا : 

ماهو الإستغلال exploit ؟

الإستغلال هو العملية التي يقوم بها مختبر الإختراق من أجل تحقيق ذلك الإختراق حيث يستعمل المعطيات التي عنده بشكل يحقق هذا الإختراق أي يمكنه من رفع ملفات خبيثة (البايلود) مع الصورة في السيرفر (وهو من المفروض خاص بالصور فقط ) الإستغلال الذي حدث هنا هو إضافة إمتداد الصورة وتجاوز حماية الموقع 

وأخيرا :

ماهو البايلود payload ؟

في أمن الحاسوب، يشير مصطلح الحمولة إلى الجزء المنفّذ للعمل الخبيث في البرامج الضارة أي هو الكود الذي يحقق لك الضرر أو الإختراق وقد يمكن حقن  هذا الكود في تطبيق أو حتى دمجه ....

وقد يختلف إستخدام هذا المصطلح حسب المجال الذي أنت فيه .

ففي مثالنا قام المخترق بدمج البايلود مع الصورة وهنا أنشأ إتصال عكسي وهو الذي ضمن  التحكم الكامل بالسيرفر