كل سنة وانتم طيبين نحتفل باليوم الوطني
بطريقة سيبرانية
موضوع اليوم عن :
Attacking integration
التركيز في السلسلة والهجمات اغلبها بعيدا عن
مهاجمة API بتكون اغلبها خدمات PAAS
و SAAS
كان مصابة فيها بعض من الشركات التالية:
#اليوم_الوطني_السعودي93
#الامن_السيبراني
بطريقة سيبرانية
موضوع اليوم عن :
Attacking integration
التركيز في السلسلة والهجمات اغلبها بعيدا عن
مهاجمة API بتكون اغلبها خدمات PAAS
و SAAS
كان مصابة فيها بعض من الشركات التالية:
#اليوم_الوطني_السعودي93
#الامن_السيبراني
تذكير بأنواع خدمات الكلاود
الصورة التالية تشرحها بطريقة مختصرة
الصورة التالية تشرحها بطريقة مختصرة
طرق الربط بين الخدمات السابقة تختلف
باختلاف اسباب الربط مثل :
1- الربط لمشاركة ملفات
2- مشاركة معلومات حساب لتسجيل الدخول
3- مشاركة نظام دعم فني وشات
4- خدمات دفع مشتريات
5- ربط لتعبئة نموذج Form
باختلاف اسباب الربط مثل :
1- الربط لمشاركة ملفات
2- مشاركة معلومات حساب لتسجيل الدخول
3- مشاركة نظام دعم فني وشات
4- خدمات دفع مشتريات
5- ربط لتعبئة نموذج Form
اليوم بشرح جزئي Payment bypass
المعروف أن ثغرات أنظمة الدفع في الأغلب تكون
ثغرات من نوع business logic
تلاعب بالاسعار
اليوم بنستهدف التكامل بين نظام دفع PayPal
واحدى المواقع العالمية التكامل كان فيه خطأ
عند استلام Token الدفع
المعروف أن ثغرات أنظمة الدفع في الأغلب تكون
ثغرات من نوع business logic
تلاعب بالاسعار
اليوم بنستهدف التكامل بين نظام دفع PayPal
واحدى المواقع العالمية التكامل كان فيه خطأ
عند استلام Token الدفع
السيناريو كالتالي:
1-زيارة للموقع
2- طلب الدفع عن طريق خدمة PayPal
3- سيتم إنشاء Token بين الموقع وخدمة
Paypal
4- الموقع ينتظر قيمة Token عند اكتمال الطلب وعند عدم اكمال الطلب لاترجع خدمة PayPal بإرجاع قيمة Token
1-زيارة للموقع
2- طلب الدفع عن طريق خدمة PayPal
3- سيتم إنشاء Token بين الموقع وخدمة
Paypal
4- الموقع ينتظر قيمة Token عند اكتمال الطلب وعند عدم اكمال الطلب لاترجع خدمة PayPal بإرجاع قيمة Token
كمهاجم اعترض الطلب ونسخ Token
وارسالها للموقع بعدها ستظهر رسالة انه تم الشراء بنجاح
الخطوة الأولى زيارة للموقع ومحاولة شراء دومين
والخدمات المرتبطة بها
وارسالها للموقع بعدها ستظهر رسالة انه تم الشراء بنجاح
الخطوة الأولى زيارة للموقع ومحاولة شراء دومين
والخدمات المرتبطة بها
الان اكمال محاولة الدفع
الخطوة الا بعدها اختيار وسيلة الدفع
بختار PayPal
بختار PayPal
الان نعترض الطلب من الصورة عندنا 2 Param
الاولى cmd=express_checkout
الثانية Token
الاولى عن طريقة الدفع والثانية الا تهمنا نستخدمها
لإرجاع القيمة للموقع الا تم الشراء منه
الاولى cmd=express_checkout
الثانية Token
الاولى عن طريقة الدفع والثانية الا تهمنا نستخدمها
لإرجاع القيمة للموقع الا تم الشراء منه
الان عن اغلاق الموقع بدون الدفع نحتاج نضيف القيمة في الموقع بالطريقة التالية وبيتم الدفع مثل الصور بالاسفل
اخيرا اتمنى الشرح واضح والمعذرة على الانقطاع
شكرا لكم
اخيرا اتمنى الشرح واضح والمعذرة على الانقطاع
شكرا لكم
جاري تحميل الاقتراحات...