مفاهيم ومصطلحات ثغرات المواقع والاجهزة
سنبدأ بتعريف الهكر أولا, لأن الهكر ينقسم لقسمين مختلفين, أو وجهين لعملة واحدة هكر بقبعات سوداء, وهكر بقبعات بيضاء كالأتي:
الهاكر صاحب القبعة السوداء blackhat
الهاكر صاحب القبعه السوداء هو ذلك الشخص الذي يلحق الاضرار وينتهك خصوصية امن المعلومات الخاصة بالاخرين لسبب ما شخصي او سياسي من اجل كسب مادي او انتقام شخصي يمكنك قراءة كتاب جريمة الامن الامعلوماتي لراوبرت مور بعام . ٢٠٠٥هؤلاء الاشخاص معروفين ايضا بمسى الـكراكرز وهم الاشخاص الذين يقومو بافعال غير شرعية من اجل تدمير او تعديل او سرقة البيانات , عكسهم الهاكرز اصحاب القبعة البيضاء.الهاكر صاحب القبعه البيضاء whitehat
الهاكر صاحب القبعه البيضاء هو ذلك الهاكر الذي تكون وظيفته الاساسية التاكد من سلامة امن المعلومات الخاصة بالمؤسسة , عادة يسمى هؤلاء الهاكرز بمختبري الاختراق , وعكسهم الهاكرز اصحاب القبعه السوداءثغرات الفيض buffer overflow
تحدث ثغرات الفيض عندما يقوم تطبيق ما بكتابة بيانات في مكان ما اكثر حجم الذاكرة المحدد لهذا المكان .ونتيجة لذلك ينتهي الحال بان يستعمل البرنامج مساحة اضافية في كتابة البيانات مما يعتبر استخدام لمساحات غير مسموح له به .
برامج المكافات المالية bug bounty
هي عبارة عن برامج تقوم فيها الشركات بتوظيف الهاكرز والدفع لهم مقابل اكتشافاتهم اشهر مواقع المكافات الامنية هما هاكرون وبجكراود.تقرير الهاكر
هو عبارة عن وصف لثغرة ما موجودة باحدى البرامج او الخدمات يحتوى على تعريف وتلخيص لكل التفاصيل المتعلقة بالثغرة يقوم بكتابته الهاكر المـكتشف للثغرة.ثغرات حقن الاسطر
تحدث هذه الثغرات عندما يقوم مستخدم سيئ بمحاولة حقن سطر جديد داخل الهيدرز الموجودة في الرد الناتج عن الركوست , وعادة تسمى هذه الثغرات بتقسيم الرد, لان المهاجم يستطيع ان يقسم الهيدرز لنصفين مما يجعل النصف الثاني موجود داخل محتوى الصفحة المعروضةثغرات الطلبات المزورة
تحدث هذه الثغرات عندما يسمح الموقع او التطبيق المصاب للمواقع الاخرى بعمل طلبات وتنفيذها بنجاح عبر مواقع اخرى بدون قصد من المستخدم , يشترط في حدوث هذه الثغرات , ان يكون المستخدم مسجل دخوله بالفعل.ثغرات الحقن عبر المتصفح
تحدث هذه الثغرات عندما يقوم موقع ما بارسال كود خبيث الى متصفح المستخدم , قد يتسبب هذا الـكود في افعال متعددة مثل سرقة الجلسة الخاصة بالمستخدم.حقن اكواد الاتش تي ام ال html injection
تسمى ايضا هذه الثغرات بالتشويه الوهمي , حيث يستطيع المهاجم حقن اكواد اتش تي ام ال تتسبب في تغيير مظهر الموقع , والسبب في ذلك عدم تحقق الموقع من مدخلات المستخدم.Pollution Parameter HTTP
تحدث هذه الثغرات عندما يقوم موقع مصاب باخذ احدى مدخلات المستخدم وعمل طلب اتش تي تي بي , بدون التحقق من هذه القيمة..ثغرات تقسيم الاستجابة
هو مسمى اخر لثغرات حقن الاسطر , حيث يستطيع المهاجم حقن هيدر داخل الاستجابة القادمة من السيرفر.ثغرات افساد الذاكرة
افساد الذاكرة هو تكنيك يستخدم من اجل اختراق التطبيق المصاب عن طريق اجبار الـكود على تنفيذ افعال غير مرغوب فيها.تكون هذه الثغرات مشابهة لثغرات الفيض .ثغرات اعادة التوجيه HTTP Redirection
تحدث ثغرات اعادة التوجيه عندما يقوم تطبيق ما باستخدام مدخل من المستخدم , واعادة توجيهه لهذا المدخل بدون التحقق من قيمته.اختبار الاختراق
هي عملية مهاجمة برمجيات الـكومبيوتر للبحث عن نقاط الضعف, من اجل الوصول الى بيانات حساسة او خاصة .تشمل هذه العملية اشخاص مختصون ربما يكونوا موظفي بالشركة او اشخاص من خارجها
باحثي الامن المعلومات
يسموا ايضا تحت اسم الهاكرز اصحاب القبعه البيضاء , وهو اي شخص يقوم باختبار او البحث داخل تطبيق او احدي البرمجيات ومحاولة اكتشاف نقاط الضعف بها , عادة يكون الباحث مبرمج ما , او مدير نظام , او ربما يكون صاحب وظيفة اخرى.فريق الاستجابة
هو فريق من الافراد المختصين بمعالجة الثغرات المـكتشفة باحدى البرامج او الخدمات , عادة يكون الفريق عبارة عن مبرمجين لدى الشكرة او مهندسي امن المعلومات , او مجموعه من المتطوعين.تحمل المسئولية
هي عملية الابلاغ عن الثغرات المـكتشفة وعدم استغلالها في انتهاك مبادئ امن المعلومات والخصوصية , واعطاء الفريق فرصة ومزيد من الوقت لمعالجة الثغرات الامنية , قبل نشر التقرير الخاص بها..الثغرة الامنية
الثغرات الامنية هي تلك الاخطاء التي تتيح لمهاجم ما بعمل افعال تتسبب في انتهاك مبادئ امن المعلومات او التدخل في خصوصيات الاخرين . الخطا الذي يتسبب في اعطاء صلاحيات اكثر من اللازم هيا ثغرة امنية .ثغرات التصميم الاولية التي تتسبب في انتهاك مبادئئ امن المعلومات والاساليب المتبعه قد تعتبر ثغرات امنية .
