ثغرة bypass vulnerability

تعرف على ثغرة bypass vulnerability

تعرف على ثغرة bypass vulnerability

اليوم سنتطرق لثغرة خطيرة تمكن المخترق من دخول لوحة ادارة الموقع وهي تندرج تحت اسم ثغرة bypass vulnerability اي ثغرات التخطي لأن الدخول الى لوحة التحكم يتم بدون ادخال اي بيانات تخص مدير الموقع من اسم مستخدم و كلمة مرور.

 

الثغرة تعتمد علي عدم اعادة توجيه المستخدم الي صفحة طلب معلومات الدخول للوحة التحكم اذا ما اراد الدخول علي اي مسار داخل لوحة التحكم .

 

مثال :

 

bypass vulnerability
bypass vulnerability

 

في هذا المثال اذا تحققت الجلسة فسيتم بدء تحميل الصفحة اما اذا لم تتحقق فسيتم اعادة توجيه المستخدم الي صفحة login.php وهنا تكون الثغرة!!!! اذ يمكن للمخترق ان يمنع الصفحة من عمل اعادة توجيه من خلال استخدام اي محرر HTTP مثل اداة fiddler او اضافة noredirect في متصفح فايرفوكس .

 

تعرف على ثغرة bypass vulnerability

حينها تقوم الصفحة بالتحميل بدون اي مشاكل مثل ما هو موضح

 

bypass vulnerability
bypass vulnerability

 

هنا قمنا بالدخول مباشرة الي لوحة التحكم ونجد ان المتصفح يخبرنا بان الصفحة تطلب اعادة توجيهنا الى صفحة login.php .

 

كيفية اصلاح هذه الثغرة :

 

تكون عملية اصلاح مثل هذا النوع من اننواع الثغرات بواسطة اضافة exit() بعد دالة ال header() كما هو موضح

 

bypass vulnerability
bypass vulnerability

 

عندها لو قمنا بمنع اعادة التوجيه فسيظهر صفحة فارغة 😀 .

 

تعرف على ثغرة bypass vulnerability

اتمنى ان اكون افدتكم وما اصبت فمن الله وما اخطأت فمن نفسي وانتظروني في مواضيع جديدة باذن الله

لمتابعة المزيد من الأخبار و المقالات و الفيديوهات التعليمية, تابعونا على صفحتنا على موقع فيسبوك عبر الرابط التالي : صفحة موقع تكناوي.نت

عن مشاركات الزوار

تعليق واحد

  1. شكرا على الشرح
    لو كان هناك مثال تطبيقي لكان افضل

اضف رد

لن يتم نشر البريد الإلكتروني . الحقول المطلوبة مشار لها بـ *

*

eight + 10 =

This site uses Akismet to reduce spam. Learn how your comment data is processed.