- الآلاف من مفاتيح واجهة برمجة التطبيقات (API) المكشوفة تمنح إمكانية الوصول بهدوء إلى الأنظمة المهمة
- تحتوي صفحات الويب العامة على بيانات اعتماد تفتح الخدمات السحابية وخدمات الدفع
- يترك المطورون رموز API الحساسة مضمنة في مواقع الويب المباشرة دون قصد
يقول باحثون أمنيون من جامعة ستانفورد، وجامعة كاليفورنيا في ديفيس، وجامعة تي يو ديلفت إن بيانات اعتماد واجهة برمجة التطبيقات الحساسة موجودة بشكل مفتوح على آلاف صفحات الويب العامة، مع القليل من الحماية.
وفقًا لنسخة ما قبل الطباعة من الدراسة على arXiv، قام الباحثون بتحليل 10 ملايين صفحة ويب وحددوا 1748 من بيانات الاعتماد الصالحة المكشوفة عبر ما يقرب من 10000 صفحة.
تغطي بيانات الاعتماد هذه الأنظمة الأساسية السحابية وخدمات الدفع وأدوات المطورين المستخدمة في بيئات الإنتاج.
يستمر المقال أدناه
التعرض على نطاق واسع عبر المواقع اليومية
وتتصل هذه المشكلة بالمواقع الأقل شهرة والمنظمات رفيعة المستوى، بما في ذلك الحالات المرتبطة بالمؤسسات المالية والخدمات المرتبطة بالبنية التحتية.
قال نور الله دمير، طالب الدكتوراه في جامعة ستانفورد: “ما وجدناه هو بيانات اعتماد حساسة للغاية لواجهة برمجة التطبيقات (API) تُركت مكشوفة علنًا على صفحات الويب العامة”، واصفًا النمط الذي يشير إلى ضوابط ضعيفة بدلاً من الأخطاء المعزولة.
تعمل بيانات الاعتماد هذه كرموز وصول تسمح للتطبيقات بالتفاعل مباشرة مع الأنظمة الخارجية.
تختلف بيانات اعتماد واجهة برمجة التطبيقات (API) عن تفاصيل تسجيل الدخول القياسية لأنها تتيح الوصول التلقائي والمستمر إلى الخدمات، وغالبًا ما يكون ذلك بدون طبقات تحقق إضافية.
وأشار دمير إلى أن هذا الوصول يمكن أن يمتد إلى قواعد البيانات وأنظمة التخزين والبنية التحتية لإدارة المفاتيح اعتمادًا على الأذونات المرفقة بكل مفتاح.
أحد الأمثلة على ذلك يتعلق بمؤسسة مالية كبرى حيث تم تضمين بيانات الاعتماد السحابية في رمز موقع الويب، مما يؤدي إلى التعرض المباشر للخدمات الداخلية.
وفي حالة أخرى، تم العثور على بيانات اعتماد المستودع المرتبطة بتطوير البرامج الثابتة مكشوفة، مما يزيد من احتمال حدوث تغييرات غير مصرح بها في التعليمات البرمجية وتوزيع التحديثات المعدلة.
يؤدي هذا إلى توسيع المخاطر إلى ما هو أبعد من الوصول إلى البيانات إلى التلاعب المحتمل بالبرامج المستخدمة في الأجهزة المتصلة.
وتتبع الباحثون معظم حالات التعرض للتعليمات البرمجية من جانب العميل، وخاصة ملفات JavaScript التي تم تسليمها إلى متصفحات المستخدمين.
حوالي 84% من بيانات الاعتماد المحددة ظهرت في موارد JavaScript، والعديد منها نشأ من ملفات مجمعة تم إنشاؤها بواسطة أدوات البناء مثل Webpack.
يمكن أن تتضمن هذه العمليات عن غير قصد بيانات حساسة عندما لا يتم التحكم في التكوينات بشكل صارم.
تم العثور على حالات تعرض أخرى في ملفات HTML وJSON، بينما ظهر بعضها في مواقع أقل شيوعًا مثل CSS.
يشير الانتشار عبر أنواع ملفات متعددة إلى أن المشكلة مضمنة في كيفية إعداد أصول الويب ونشرها بدلاً من ربطها بمرحلة تطوير واحدة.
ووجدت الدراسة أيضًا أن بيانات الاعتماد المكشوفة غالبًا ما تظل متاحة لفترات طويلة، تتراوح من عدة أشهر إلى عدة سنوات.
لم يكن المطورون في كثير من الأحيان على علم بالمشكلة حتى تم الاتصال بهم، مما يشير إلى الثغرات في عمليات المراقبة والمراجعة.
وبعد بدء جهود الكشف، انخفض عدد أوراق الاعتماد المكشوفة بمقدار النصف تقريبًا في غضون أسبوعين.
ويحذر الباحثون من أن النتائج التي توصلوا إليها من المحتمل أن تمثل الحد الأدنى فقط، حيث قاموا بالتحقق من أوراق الاعتماد من مجموعة محدودة من مقدمي الخدمات.
وهذا يترك الباب مفتوحًا أمام إمكانية بقاء المزيد من بيانات الاعتماد متاحة للجمهور عبر الويب دون اكتشافها.
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات