كاسبرسكي تكشف عن نقاط الضعف الأكثر خطورةً وانتشاراً في تطبيقات الويب الخاصة بالشركات
تاريخ النشر: 13th, March 2024 GMT
حددت دراسة حديثة أجراها خبراء تقييم الأمن في كاسبرسكي نقاط الضعف الأكثر خطورةً وانتشاراً في تطبيقات الويب المطورة داخلياً للشركات. في الفترة بين عامي 2021 و2023، تم العثور على عيوب تتعلق بالتحكم في الوصول وحماية البيانات في معظم الطلبات التي تم فحصها، والتي بلغ مجموعها العشرات. ويرتبط العدد الأكبر من نقاط الضعف عالية الخطورة بعمليات حقن SQL.
تعد تطبيقات الويب مثل الشبكات الاجتماعية، والبريد الإلكتروني، والخدمات على الإنترنت مجرد مواقع في الأساس، حيث يتفاعل المستخدمون مع خادم الويب عبر المتصفح. وقد بحثت شركة كاسبرسكي في دراستها الأخيرة عن نقاط الضعف في تطبيقات الويب المُستخدمة من قبل منظمات تكنولوجيا المعلومات، والحكومات، وشركات التأمين، والاتصالات، والعملات المشفرة، والتجارة الإلكترونية، والرعاية الصحية، وذلك لتحديد أكثر أنواع الهجمات انتشاراً واحتمالية لاستهداف لشركات.
تضمنت الأنواع السائدة من نقاط الضعف إمكانية الاستخدام الخبيث لعيوب التحكم في الوصول، والفشل في حماية البيانات الحساسة. وبين عامي 2021 و2023، أظهرت 70% من تطبيقات الويب التي تم فحصها في هذه الدراسة وجود نقاط ضعف من هاتين الفئتين.
يمكن استخدام ثغرة أمنية معطلة للتحكم في الوصول في حالات محاولة المهاجمين تجاوز سياسات الموقع التي تقيد المستخدمين بأذوناتهم المصرح بها. ويمكن أن يؤدي ذلك إلى الوصول غير المصرح به، أو إلى تغيير البيانات، أو حذفها، أو أكثر من ذلك. ويتضمن النوع الثاني الشائع من الخلل الكشف عن معلومات حساسة مثل كلمات المرور، وتفاصيل بطاقات الائتمان، والسجلات الصحية، والبيانات الشخصية، والمعلومات التجارية السرية، مما يسلط الضوء على الحاجة إلى زيادة التدابير الأمنية.
تقول أوكسانا أندريفا، خبيرة أمنية في فريق تقييم الأمن في كاسبرسكي، موضحة: «تم تجميع التصنيف عبر دراسة أكثر نقاط الضعف شيوعاً في تطبيقات الويب المطورة داخلياً في العديد من الشركات، بالإضافة لمستوى الخطر الخاص بها. على سبيل المثال، قد تمكن إحدى الثغرات الأمنية المهاجمين من سرقة بيانات مصادقة المستخدم، في حين يمكن أن تساعد ثغرة أخرى في تشغيل كود برمجي ضار على الخادم، ولكل منها درجات متفاوتة من العواقب على استمرارية ومقاومة الأعمال. وتعكس تصنيفاتنا هذا الاعتبار، مستفيدة من خبرتنا العملية في تنفيذ مشاريع التحليل الأمني.»
درس خبراء كاسبرسكي كذلك مدى خطورة الثغرات الأمنية الموجودة في المجموعات المذكورة أعلاه. وارتبطت النسبة الأكبر من الثغرات الأمنية عالية الخطورة بعمليات حقن SQL. وعلى وجه الخصوص، تم اعتبار 88% من جميع الثغرات الأمنية التي تم تحليلها لحقن SQL على أنها عالية الخطورة.
وتم اكتشاف أن نسبة كبيرة أخرى من الثغرات الأمنية عالية المخاطر مرتبطة بكلمات مرور المستخدمين الضعيفة. وضمن هذه الفئة، تم تصنيف 78% من جميع نقاط الضعف التي تم تحليلها على أنها عالية الخطورة.
من المهم ملاحظة أن 22% فقط من جميع تطبيقات الويب التي درسها فريق تقييم الأمن في كاسبرسكي كانت تتضمن كلمات مرور ضعيفة. ولعل أحد الأسباب الممكنة هو أن التطبيقات المضمنة في عينة الدراسة كانت إصدارات تجريبية ولم تكن أنظمة حقيقية فعالة.
للتعمق أكثر في الدراسة، قم بزيارة موقع Securelist الإلكتروني. تتوافق فئات نقاط الضعف الموضحة في البحث مع الفئات الأساسية والفئات الفرعية العشر الأعلى ترتيباً في تقييم مشروع أمان تطبيقات الويب المفتوحة (OWASP). ستساعد معالجة ما تم ذكره في الدراسة - من أكثر نقاط الضعف انتشاراً في تطبيقات الويب - الشركات على حماية البيانات السرية وتجنب اختراق تطبيقات الويب والأنظمة المرتبطة بها. لتحسين أمان تطبيقات الويب والكشف عن الهجمات المحتملة عليها في الوقت المناسب، يوصي فريق تقييم الأمن في كاسبرسكي بما يلي:
استخدام دورة الحياة الآمنة لتطوير البرمجيات (SSDLC)؛
وإجراء تقييمات منتظمة لأمن التطبيق؛
واستخدام آليات التسجيل والمراقبة لتتبع عمل التطبيقات.
المصدر: بوابة الوفد
كلمات دلالية: الثغرات الأمنیة عالیة الخطورة نقاط الضعف التی تم
إقرأ أيضاً:
90 ورقة علمية تناقش تطبيقات وأخلاقيات الذكاء الاصطناعي
افتُتِح اليوم في جامعة السلطان قابوس "المؤتمر الدولي للذكاء الاصطناعي: التطبيقات والابتكار والأخلاقيات"، الذي يستمر ثلاثة أيام، ورعى حفل الافتتاح معالي المهندس سعيد بن حمود المعولي، وزير النقل والاتصالات وتقنية المعلومات، بحضور صاحب السمو السيد الدكتور فهد بن الجلندى آل سعيد، رئيس جامعة السلطان قابوس، وجمع من الأكاديميين والخبراء.
ويتضمن المؤتمر عقد 15 جلسة يتم خلالها تقديم 90 ورقة عمل لباحثين من مختلف الدول العربية والأجنبية، لمناقشة تطبيقات الذكاء الاصطناعي في مجالات التعليم، والطب، والصناعة، والاقتصاد الرقمي، والطاقة، بالإضافة إلى استخدام الذكاء الاصطناعي للتنبؤ بموجات التسونامي والزلازل ورصدها، مع تسليط الضوء على أخلاقيات الذكاء الاصطناعي.
وقال الأستاذ الدكتور عبدالناصر حسين، رئيس كرسي اليونسكو للذكاء الاصطناعي، رئيس اللجنة المنظمة للمؤتمر: إن كرسي اليونسكو للذكاء الاصطناعي في جامعة السلطان قابوس سيعمل في دورته الأولى حتى نهاية يونيو 2028، مرتبطا بمركز أبحاث الاتصالات والمعلومات بالجامعة، وقد تم تشكيل فريق العمل للكرسي من العديد من الباحثين المتخصصين في أساسيات الذكاء الاصطناعي واستخداماته في التعليم، والطب، والاقتصاد، والاتصالات، والتحكم، وأخلاقيات الذكاء الاصطناعي، بهدف تعزيز القدرات العلمية والتكنولوجية على المستويات الوطنية والإقليمية والدولية.
وذكر أن هذا المؤتمر يأتي مكملا لجهود سابقة نظمها مركز أبحاث الاتصالات والمعلومات بالجامعة في مجال الذكاء الاصطناعي عبر ندوتين دوليتين؛ الأولى في فبراير 2020، وهي الندوة الدولية للطب عن بُعد والذكاء الاصطناعي في الطب، والثانية في فبراير 2022، بعنوان الندوة الدولية لاعتماد البرمجيات الحرة ومفتوحة المصدر للرقي بالتعليم الذكي والاقتصاد الرقمي.
ويُعقد هذا المؤتمر على لمدة ثلاثة أيام، ويهدف إلى نشر استخدام وتطوير تقنيات وتطبيقات الذكاء الاصطناعي الحديثة، والابتكار في الذكاء الاصطناعي، وتعزيز الوعي بأخلاقياته، كما يحظى المؤتمر باهتمام كبير من المتخصصين، وأعضاء الهيئات الأكاديمية، والقطاع الحكومي، والشركاء الصناعيين، والباحثين، والطلبة، والمجتمع في سلطنة عُمان.
ويركز المؤتمر على تطبيقات الذكاء الاصطناعي في التعليم، والطب، والصناعة، والاقتصاد الرقمي، والابتكار، وأخلاقيات الذكاء الاصطناعي، كما ينظم كرسي اليونسكو لدراسات الزلازل والتسونامي في مركز رصد الزلازل بجامعة السلطان قابوس جلسة خاصة بعنوان "الذكاء الاصطناعي لرصد الزلازل والتسونامي والتنبؤ بها"، فيما يعقد معهد مهندسي الكهرباء والإلكترونيات في سلطنة عمان جلسة خاصة حول "الانتقال المستدام للطاقة".
ويستضيف المؤتمر مجموعة من العلماء والخبراء المرموقين في مجالات الذكاء الاصطناعي كمتحدثين رئيسيين، حيث سيقدمون حلقات عمل تدريبية متخصصة، كما يتخلل المؤتمر ثلاث حلقات عمل رئيسية حول الذكاء الاصطناعي في التعليم، والذكاء الاصطناعي في الطب، وأخلاقيات الذكاء الاصطناعي.
تاريخ الذكاء الاصطناعي
قدم الدكتور ناصر بن محمد آل فنة، مدير مكتب البرامج التقنية والقائم بأعمال المدير العام المساعد للمركز الوطني للفضاء والتقنية المتقدمة والذكاء الاصطناعي، عرضا حول تطور الذكاء الاصطناعي، تتبع فيه نشأته منذ ظهور أفكار آلان تورينج، الرائد في المجال، في أربعينيات القرن الماضي، ثم استعرض مراحل تطوره الحديثة، كما ناقش التطورات التي تقودها شركات التكنولوجيا الكبرى مثل جوجل.
وتحدث الدكتور آل فنة عن مجالات الذكاء الاصطناعي الرئيسة، بما في ذلك الذكاء الاصطناعي التوليدي، ومعالجة اللغة الطبيعية، والتعلم الآلي، والتعلم العميق، والرؤية الحاسوبية، والروبوتات، والأنظمة المتقدمة، والألعاب، واتخاذ القرار، وسلط الضوء على التأثير الكبير لتطبيق ChatGPT، الذي أذهل العالم بقدرته على توليد الاستجابات في غضون ثوانٍ.
وفي معرض حديثه عن التقدم المحرز في مجال الذكاء الاصطناعي في سلطنة عُمان، أشار الدكتور آل فنة إلى أن البرنامج الوطني للاقتصاد الرقمي قد أُنشئ كخطوة ملموسة نحو تحقيق "رؤية عمان 2040"، كما شدد على أهمية تطوير منصات الذكاء الاصطناعي المحلية للتخفيف من المخاطر المرتبطة بالاعتماد على التقنيات المطورة في الخارج.
وأشار إلى أن سلطنة عُمان تستعد لإطلاق العديد من المشروعات القائمة على الذكاء الاصطناعي، من بينها منصة شبيهة بـChatGPT، ومركز الثورة الصناعية الرابعة، والمركز الوطني للبيانات المفتوحة، استوديو للذكاء الاصطناعي.
كما قارن بين القدرات البشرية والآلية من حيث السرعة والكفاءة، مؤكدا الحاجة إلى التكيف والريادة في عصر الذكاء الاصطناعي، وأشار كذلك إلى أن منصة DeepSeek برزت مؤخرا كمنافس قوي لـChatGPT في مشهد الذكاء الاصطناعي المتطور.
المعولي يرعى افتتاح مهرجان "سناو مقصدنا"