السلام عليكم،
"كلمات في الـ API Security".
قد يعتقد بعض مهندسي السايبر أنّه إنْ عَمل في مؤسسة ما كـ Pentester فإنّ معظم الـTargets تكون Web Applications، لذلك تراهم يقتلون معظم وقتهم في المطالعة والتدرّب على ثغرات الويب فحسب، إلّا أنّ الواقع مغايرٌ تمامًا=
"كلمات في الـ API Security".
قد يعتقد بعض مهندسي السايبر أنّه إنْ عَمل في مؤسسة ما كـ Pentester فإنّ معظم الـTargets تكون Web Applications، لذلك تراهم يقتلون معظم وقتهم في المطالعة والتدرّب على ثغرات الويب فحسب، إلّا أنّ الواقع مغايرٌ تمامًا=
إذْ أنّ ما يقارب من 70% من تطبيقات الشركات تكون عبارة عن Mobile Applications، وهي ما تشكّل الدم الذي يجري في أوردةِ المؤسسات.
لذلك، أرى وأنّ على كل Pentester/SOC أن يكون على دراية كافية بالـ API Security إذْ إن معظم الMobile Applications هي في الواقع API Calls/Responses.=
لذلك، أرى وأنّ على كل Pentester/SOC أن يكون على دراية كافية بالـ API Security إذْ إن معظم الMobile Applications هي في الواقع API Calls/Responses.=
سببٌ آخر لأهمية الـ API، وهي أنّه وبناءً على تجربتي في بيئات ومؤسسات ضخمة عملتُ في مشاريع Red Teaming/ Pentesting لها، كنت أرى أنّ معظم هذه المؤسسات تكون vulnerable لعدد هائل من ثغرات الAPI بينما تكون محمية بشكلٍ أكثر من رائع من ثغرات الويب.
وإنّ سبَبَ ذلك جديرٌ بالذكر=
وإنّ سبَبَ ذلك جديرٌ بالذكر=
إذ أنّ معظم ثغرات الويب تكون Technical غالبًا كالـ XSS, SQLi, File Upload, SSRF وغيرهم، وإنْ كان الدومين ذاته مُصاب بأحدها، فإنّ الـ WAF قادر على الحماية منها، خاصة إن كان الWAF يعمل على الـ Self Learning & whitelisting مثل الـ F5 WAF.
لذلك، تُعتبر ثغرات التيكنيكال في الويب=
لذلك، تُعتبر ثغرات التيكنيكال في الويب=
شبه معدومة الوجود في المؤسسات القوية، ليسَ لأنّ المبرمجين أقوياء كفاية ليكتبوا أكوادًا غير مصابة، بل لوجود العديد من الـ Security Solutions التي تمنع استغلال مَثيلات هذه الثغرات رغم وجودها.
أما لو تكلمنا عن الـ API، فإنّ معظم الثغرات فيه تكون Logical Bugs، أيْ ثغرات منطقية.=
أما لو تكلمنا عن الـ API، فإنّ معظم الثغرات فيه تكون Logical Bugs، أيْ ثغرات منطقية.=
فحين أقول ثغرات منطقية، أقصد أبسط الأمثلة، بدايةً من الـ IDORS وصولًا إلى الMutli Stage Attacks، لأنّ مبدأ الـ API في الغالب يكون على عمل Fetch لداتا معينة من Repository ما.
كـPentester، فإنّ متعة إيجاد ثغرات الـ API كبيرة، إلا أنك تحتاج لجهد عالٍ لإيجاد ثغرة Critical في المؤسسة=
كـPentester، فإنّ متعة إيجاد ثغرات الـ API كبيرة، إلا أنك تحتاج لجهد عالٍ لإيجاد ثغرة Critical في المؤسسة=
وهذا يستدعي الكثير من التفكير والدراية، ثم تكوين Attack Scenario معيّن، تقوم بتوضيحه واستغلاله، ثم كتابته في تقرير مفصّل، ثم إبلاغ الإدارة عنه والقدرة على شرحه للDevelopers ثم القدرة على تقديم الحلول المناسبة لحل مثل هذه الثغرة على خطوات مركبة.
أما موظفو الـ SOC فيواجهون=
أما موظفو الـ SOC فيواجهون=
الأمر ذاته، لكن بشكلٍ آخر، إذ أنّ معظم الـ SIEM Solutions لا تستطيع اكتشاف وجود استغلال معين لثغرة في الـ API Gateway، لذلك يجب على موظف الـ SOC -إن إراد العمل على مستوىً عالٍ- أن يكون على دراية بهجمات الـ API، كيف يبدو الـflow الطبيعي والغير طبيعي، وهذا يختلف من مؤسسة لأخرى=
وهذا ما يقوده إلى الإشارة لبناء Customized Use Cases في سبيل عمل Detect لأي من هذه الثغرات المحتملة.
بشكلٍ عام، ما أريد الإشارة إليه هو أنّه وعلى كافة أطياف مهندسي السايبر -في رأيي- العمل على تحسين مهاراتم وتصوّرهم عن الـ APIs والـ API Gateways، وذلك ليس بالمطالعة على مبدأ=
بشكلٍ عام، ما أريد الإشارة إليه هو أنّه وعلى كافة أطياف مهندسي السايبر -في رأيي- العمل على تحسين مهاراتم وتصوّرهم عن الـ APIs والـ API Gateways، وذلك ليس بالمطالعة على مبدأ=
رفع العتب، بل على مبدأ تحسين معرفتهم وصقلها حتى تتوازى مع معرفتهم في الويب وباقي الScopes في بيئات المؤسسات.
صدقوني، أكثر من 80% من الثغرات التي يتم استغلالها من المؤسسات تكون في الـ APIs، إذْ لا يمكن رصدها أو الحماية منها بالـWAF أو أي Security Solution آخر، لذلك=
صدقوني، أكثر من 80% من الثغرات التي يتم استغلالها من المؤسسات تكون في الـ APIs، إذْ لا يمكن رصدها أو الحماية منها بالـWAF أو أي Security Solution آخر، لذلك=
وجب التنويه لأهمية هذه النقطة، ثم يجدر الإشارة أيضًا أنّ قولي أعلاه لا يعني بأنّ الـ API قد لا تحتوي على ثغرات تيكنيكال مثل الـ SQLi، إذ أنّها موجودة لكن بنسب لا تكاد تذكر.
قدرتك على فهم الـ API Attack Scope من شأنها أن تجعلك تتميز وبشدة عن كافة منافسيك في العمل، سبب ذلك أنّ=
قدرتك على فهم الـ API Attack Scope من شأنها أن تجعلك تتميز وبشدة عن كافة منافسيك في العمل، سبب ذلك أنّ=
القليل فقط من مهندسي السايبر سواء الـOffensive / Defensive يملكون الخبرة الكافية للتعامل مع سيناريوهات الـ APIs المعقدة والمركّبة، ثم لا تنسَ مسؤوليتك الأخرى في أنّ كل اكتشافٍ لثغرة من طرفك، عليه أن يتوازى مع حلّ تُوصي به للDevelopers.
فأنصحُ وبشدة المطالعةَ عن هذا المجال=
فأنصحُ وبشدة المطالعةَ عن هذا المجال=
في النهاية، أشير إلى ما أشير إليه دائمًا، عالم السايبر أكبر وأعقد مما تعتقد، هناك أمورٌ جليّة وأخرى خفيّة، وأنّ ما نعرفه عن السايبر لا يشكّل أكثر من 50% من عالم السايبر الحقيقي، وأعني بالعالم الحقيقيّ حروبَ السايبر التي تحدث بين المؤسسات الكُبرى والدول حول العالم.
لذلك=
لذلك=
فإنّ الاكتفاء بمعرفة أساسية يُعتبر جيدًا الآن، لكنّه قد يتآكل في المستقبل ويندثر فترى القومَ قد سبقوك.
إنّ السايبر مجالٌ رائع، لكنّه ليس بأرقى المجالات ولا أعلاها، فلا أراه قد وصل ما وصلته علوم الطب والفيزياء والكيمياء، ولا أراه بالقدر القليل الذي لا يعني إعطاءه الأهمية، لكنّ=
إنّ السايبر مجالٌ رائع، لكنّه ليس بأرقى المجالات ولا أعلاها، فلا أراه قد وصل ما وصلته علوم الطب والفيزياء والكيمياء، ولا أراه بالقدر القليل الذي لا يعني إعطاءه الأهمية، لكنّ=
إدراك هذه النقطة واجبٌ على الجميع حتى لا يفزع من نظرته للمؤسسات والشركات على أنّها بيئات معقدة يستحيل عليه التأقلم فيها.
كلامي أعلاه تزداد أهميته مع أهمية المؤسسة، فكلّما كانت البيئة أكثر حماية، كلّما زادَ تركيز الـAttackers على الـ APIs وهي ما يشكّل معظم الهجمات في العالم الآن=
كلامي أعلاه تزداد أهميته مع أهمية المؤسسة، فكلّما كانت البيئة أكثر حماية، كلّما زادَ تركيز الـAttackers على الـ APIs وهي ما يشكّل معظم الهجمات في العالم الآن=
واعلم أنّه علمٌ يُقرأ كغيره من العلوم، وأنّها أيامٌ تنقضي كباقي الأيام، وحريٌّ بكَ الإدراك أنّ الوصولُ مناطٌ بالسعي، وسعيُ العلم مُجاهدته والنّهلُ منه، فلا تكُن من المفرطين المنعزلين عن حياتهم في سبيل العلم، ولا من المُهملين المهلكين أنفسهم بعيدًا عنه.
"ولكن.. لماذا؟!"
انتهى.
"ولكن.. لماذا؟!"
انتهى.
جاري تحميل الاقتراحات...