‫‪OWASP TOP 10: The Open Web Application Security Project‬‬

‫هي منظمة غير ربحية تركز على تحسين أمان البرمجيات(‪ . )Software Security‬تقدم المنظمة إرشادات وأدوات ومشاريع‬
‫مفتوحة المصدر تساعد المطورين والمتخصصين في األمن على اكتشاف الثغرات وتأمين التطبيقات‪.‬‬

‫أحد المشاريع ‪OWASP TOP 10‬وهي قائمة تضم أكثر ‪ 10‬ثغرات شيوًعا في تطبيقات الويب‪ ،‬مثل ‪ SQL injection‬و ‪Cross-Site‬‬
‫)‪ .Scripting (XSS‬وبالتالى يجب مراقبتها ومعرفة كيفية التصدى لها وتفاديها‪.‬‬

‫المنظمه توفر أدوات ومصادر لتأمين البرمجيات ضد هذه الثغرات‪.‬‬

‫‪‬‬ ‫‪OWASP ZAP (Open Web Application Security Project Zed Attack Proxy). It's a widely-used open-source tool for‬‬
‫‪finding vulnerabilities in web applications during development and testing phases.‬‬

‫‪xss‬ثغره لو موجوده فى ال ‪ web application‬بتسمح اللهاكر انو يكون ليه كنترول عاالبليكيشن بشكل كامل يعنى حسب‬
‫الحاله ممكن الثغره تسمح بتحمه فى المستخدمين اللى بيدخلو االبليكيشن (ازاى انا كيوزر هنضر)‬

‫انا هاكر استغليت ثغره عالويب ابليكيشن مكنتنى من زرع كود ضار ومجرد ما يزور اليوزر الموقع دا هيتصاب بيه البراوزر‬
‫الخاص بيه وبكدا اقدر اخد منه معلومات دا انا ممكن ادخل عالموقع باعتبارى هو ومبقتش محتاج اليوزر والباسوورد وتخيل بقا‬
‫ان االكونت اللى اتصاب يكون ‪ admin‬الموقع وانا عرفت كدا اتحكم فيه ايه اللى هيحصل ؟‬

‫السبب فى ظهورها ‪ :‬اى حاجه بتاخد ‪ input‬من اليوزر بيكون معمولها ‪ input validation‬فلو متمش دا نتيجة خطأ معين بيسبب‬
‫الثغره دى ممكن انفذ اكواد واوامر معينه واخرج بيانات يعنى ممكن اقدر اوصل السماء المستخدمين وباسورداتهم‬
‫والمفروض عملية التحقق دى بتتم من جهة السيرفر (بيعمل ‪ sanitize‬تطهير للمدخالت)‬
‫ثغرة ‪ XSS: Vulnerability‬موجوده فى الويب ابليكيشن نتيجة ان مبتعملش ‪ validate‬عال ‪ user input‬بتسمح للهاكر انو‬
‫ي ‪ inject malicious java script code‬فى صفحات الويب اللى بيزورها المستخدم وبالتالى اصابته عند تنفيذ الكو )غالبا ال‬
‫‪) Stored‬‬

‫النتيجة ‪ :‬ممكن الثغره تسمح بتحكمه بالكامل فى المستخدمين ‪ .‬سرقة معلومات حساسه ومهمه مثل ال‬
‫‪. cookies‬تغيير فى المحتوى لو ادمن‬

‫ال ‪ Malicious Code‬بيتزرع بين <‪ > Script Tag‬غالبا بتكون ملفات ‪ . exe.‬كل لما الصفحه بتتفتح االكواد دى بتتنفذ‬
‫يعنى كهاكر دخلت كود خبيث فى مكان معين نتيجه للثغره واتقبل فأصبح موجود ضمن أكواد البيدج وبكدا اللى هيزور‬
 ‫ازاى اكتشف الثغرة ‪:‬‬
‫‪ Test‬كل ‪ user input‬واشوف نتيجته فى البيدج ايه وأبشط شكل <‪ )>Script> alert (“XSS”) </Script‬جرب على موقع ‪)hack.me‬‬

‫‪Types of XSS Vulnerability‬‬ ‫عشان استغل الثغرة دى محتاجه أعرف أنواعها ‪:‬‬

‫‪ :Reflected XSS‬ان ال ‪ payload‬بيتنفذ مباشرة فى الويب سايت عن طريق ال ‪ URL‬الجاى من البراوزر دون تخزينها‬ ‫‪‬‬
‫على السيرفر وبتترد النتيجه للمتصفح‬
‫يتم استغالل هذه الثغرة غالًبا عبر روابط خبيثة يتم إرسالها للمستخدمين‪ ،‬وعند النقر على الرابط يتم تنفيذ الكود‬ ‫‪‬‬
‫الضار في المتصفح‪.‬وجود ‪ http-only attribute‬فى ال ‪ cookie‬اللى فى المتصفح بتمنع ايضا من سرقتها‬
‫النها بتمنع تنفيذ اى كود اخر غير هذه اللغه‬

‫(يعنى لقيت ‪ input‬زرعت فيه كود خبيث ظهر مباشرة فى ال‪ url‬اللى المفروض لما بيدخله اليوزر بيروح للويبسايت ال‬
‫‪ vulnerable‬فكدا هو مدخلش الموقع بس هو نفذ الكود كمان اللى ادتهوله فاصبح البراوزر الخاص بيه مصاب وتبعيات بقا‬
‫حسب اللى هيعمله الكود دا ‪:‬كود مثال لو اتنفذ هيخلينى اسرق باسووردات (‬

‫‪Server‬‬ ‫‪url + Payload‬‬

‫‪Vulnerable Web App‬‬ ‫‪Attacker‬‬

‫‪Click Url‬‬ ‫الكود اتنفذ ورجع نتيجته تانى لل ‪Victim‬‬

‫عالمتصفح عملية (‪) request & response‬‬

‫‪User‬‬

‫بس طبعا مش بسهوله ان اى حد يضغط على لينك يكون مصاب الن المتصفحات متطوره حاليا فيها فلتره للمحتوى ‪ :‬سياسة‬
‫ال ‪.Content security Policy‬‬

‫‪ :Stored XSS, Persistent‬ال ‪ malicious code‬بيتخزن فى الداتا بيز لالبليكيشن وكل مره اليوزر بيزور البيدج بتتنفذ‬ ‫‪‬‬
‫االكواد بشكل تلقائى‪.‬‬
‫اى موقع فيه دايما ‪ comment,Forum,user profile‬بيبقى افضل لتنفيذ النوع دا‬ ‫‪‬‬
‫اى ‪ Victim‬زار الموقع المصاب ال‪ cookie‬بتاعته هتتبعت عالبيدج الخاصه بال ‪attacker‬‬ ‫‪‬‬
 ‫‪:‬ازاى امنع الثغرة‬
‫التحقق من صحة المدخالت (‪) input validation‬‬ ‫‪‬‬
‫تفعيل سياسات أمان المحتوى (‪ )Content Security Policy - CSP‬لتقليل قدرة المهاجم على تشغيل أكواد ‪JavaScript‬‬ ‫‪‬‬
‫غير موثوقة‪.‬‬
‫‪Use a framework :‬تأتي معظم أطر العمل مصحوبة بتدابير وقائية ضد هجمات ‪.XSS‬‬ ‫‪‬‬
‫‪Keep your framework up-to-date‬‬ ‫‪‬‬

‫‪ :‬ازاى اكتشف الثغرة‬

‫‪ :Look for keywords‬أسهل طريقة الكتشاف هجمات ‪ XSS‬هي البحث عن الكلمات الرئيسية مثل ‪. alert, script‬‬ ‫‪‬‬
‫‪.Learn about commonly used XSS payloads: You can examine some commonly used payloads here‬‬ ‫‪‬‬
‫‪.Check for the use of special characters: such as greater than (>) or less than (<), are present‬‬ ‫‪‬‬
‫‪‬‬

‫]‪XEE Vulnerability [XML External Entity‬‬

‫لنبدأ أوال بمعرفة ال]‪XML [Extensible Markup Language‬‬

‫تستخدم لتخزين وتبادل البيانات‪ .‬تم تطويرها لتكون وسيلة معيارية لتنظيم البيانات بطريقة يمكن قراءتها وفهمها‬ ‫‪‬‬
‫بواسطة كل من البشر واآلالت‪.‬‬

‫لماذا احتجنا إلى ‪ XML‬؟‬

‫‪ ‬نقل البيانات‪ :‬يساعد في نقل البيانات بين األنظمة المختلفة‪ ،‬خاصة عندما ال تكون األنظمة متوافقة مع بعضها‬
‫البعض‪.‬‬
‫‪ ‬تخزين البيانات‪ :‬يمكن استخدام ‪ XML‬لتخزين البيانات بطريقة منظمة وواضحة‪.‬‬

‫‪ ‬تنسيق البيانات ‪ :XML‬يجعل البيانات قابلة للفهم سواء من قبل البشر أو الحواسيب‪ ،‬حيث يمكن ألي جهاز أو‬
‫تطبيق فهم البيانات بسهولة بغض النظر عن لغة البرمجة أو النظام الذي يستخدمه‪.‬‬

‫‪HTML: Describes the structure of web pages.‬‬

‫‪XML: Describes structured data that needs to be exchanged or stored‬‬

‫‪ .‬الفرق بين ‪ XML‬و ‪HTML‬‬

‫)‪XML (Extensible Markup Language‬‬

‫هدفها تنظيم البيانات بشكل هيكلي حتى يتمكن أي نظام من فهمها‪ .‬وال تهتم بكيفية عرض البيانات‬ ‫‪‬‬
‫يمكن تخصيص عالمات (‪ )tags‬تناسب البيانات التي ترغبين في تبادلها‪.‬‬ ‫‪‬‬

‫)‪HTML (Hypertext Markup Language‬‬

‫هدفها األساسي هو عرض البيانات في المتصفح ‪ ،‬وليس لتبادل البيانات بين األنظمة‬ ‫‪‬‬
‫تحتوي على عالمات (‪ )tags‬جاهزة‪ ،‬مثل <‪ >p‬للفقرة‪ >h1< ،‬للعنوان‪ ،‬وهكذا‪ ،‬وُتستخدم لعرض النصوص‬ ‫‪‬‬
‫والصور بشكل مرئي للمستخدم‪.‬‬
 ‫للتوضيح ‪ :‬لنفترض أننا نريد الدخول إلى موقع لحجز فندق‬

‫عندما اإلنتهاء من الحجز‪ ،‬الموقع يظهر صفحة ‪ HTML‬تعرض معلومات الحجز بشكل جميل ومريح للقراءة‪.‬‬ ‫‪.1‬‬
‫لكن خلف الكواليس‪ ،‬يتم إرسال بيانات الحجز من الموقع إلى نظام الفندق باستخدام ‪ ،XML‬حيث تكون‬ ‫‪.2‬‬
‫البيانات منظمة بشكل يسمح للفندق بتخزينها في قاعدة البيانات الخاصة بهم‪.‬‬

‫مثال يتم إرسال هذا الملف عبر ‪ HTTP‬إلى النظام الخارجي (موقع الفندق)‪ ،‬حيث يقوم النظام بقراءة البيانات‬
‫وفهمها‪ ،‬وتنفيذ الحجز واستخدام ال ‪ HTML‬للعرض على المستخدم‪.‬‬

‫]‪2. XEE Vulnerability [XML External Entity‬‬

‫‪ Vulnerability‬موجوده فى الويب ابليكيشنز اللى بتسمح بمعالجة بيانات ‪ XML‬حيث يقوم المهاجم باستغالل ال‪External‬‬
‫‪ entities‬داخل ال‪XML‬‬

‫للوصول إلى ملفات حساسة أو تنفيذ أوامر على السيرفر‪.‬‬

‫باستخدام مثال حجز الفندق ‪ :‬ملف ‪ XML‬آمن إذا كان التطبيق يعالج البيانات بشكل صحيح‪ .‬ولكن هنا يأتي دور‬
‫المهاجم حيث يقوم بتعديل ملف ‪ XML‬الذي يرسله إلى التطبيق ليحتوي على كيان خارجي (‪)External Entity‬‬
‫والذى يكون عبارة عن أمر يطلب من التطبيق القيام بشيء غير متوقع‪ ،‬مثل فتح ملف يحتوي على معلومات حساسة من‬
‫النظام كما فى المثال ‪:‬‬
 ‫عند معالجة التطبيق لهذا الملف ‪ ،XML‬يقوم التطبيق (بدون قصد) بفتح ملف ‪ passwd‬وإرساله إلى المهاجم ألنه لم‬
‫يتحقق من مصدر األمر‪.‬‬

‫ما الحاجة من البدايه الستخدام ال‪ External Entity‬؟‬

‫الكيانات الخارجية (‪ )External Entities‬في ‪ XML‬كانت في األصل مصممة كخاصية مفيدة حيث تستخدم لطلب بيانات أو‬
‫جلب معلومات من مكان خارجي‪ ،‬مثل ملف معين أو عنوان ‪URL‬‬

‫مثال ‪ :‬تخيل أنِك تعمل على مشروع كبير يحتوي على العديد من ملفا ت‪ XML .‬بدًال من تكرار نفس المعلومات في كل‬
‫ملف‪ ،‬يمكنك إنشاء ‪ Entity‬يشير إلى ملف معين يحتوي على معلومات مشتركة وتضمينه داخل ملف أخر عند الحاجه الى‬
‫المعلومات بدل التكرار (فكرة اإلستدعاء)‬

‫مثال آخر ‪ :‬تخيل أن لديِك تطبيًقا تجارًيا يدير المخازن‪ .‬يمكن أن يحتوي ملف ‪ XML‬الذي يمثل الطلبات على ‪Entity‬‬
‫خارجي يشير إلى ملف يحتوي على معلومات المنتجات المشتركة في الطلبات‪ ،‬مما يسهل عليك إعادة استخدامها دون‬
‫الحاجة إلى نسخ البيانات في كل طلب‪.‬‬

‫في هذا المثال‪ ،‬يتم استدعاء البيانات الخاصة بالمنتجات من مصدر خارجي (مثل موقع على اإلنترنت أو ملف‬
‫محلي)‪.‬لكن المشكلة تبدأ عندما يتمكن المهاجم من استغالل هذه الخاصية لطلب معلومات حساسة من‬
‫النظام أو تنفيذ أوامر غير آمنة‪.‬‬

‫أنواع ال ‪XEE Attacks‬‬

‫‪There are various types of XXE attacks:‬‬

‫‪‬‬ ‫‪Exploiting XXE to retrieve files‬‬
‫‪‬‬ ‫‪Exploiting XXE to perform SSRF attacks‬‬
‫في هذه الهجمة‪ ،‬يستخدم المهاجم كياًنا خارجًيا يستند إلى عنوان ‪ URL‬إلرسال طلبات ‪ HTTP‬إلى خوادم‬ ‫‪‬‬
‫أخرى ضمن الشبكة الداخلية‪ .‬الهدف هو استغالل هذه الثغرة للتواصل مع نظم خلفية أو حتى استخراج‬
‫معلومات من الشبكة الداخلية التي ال يمكن الوصول إليها مباشرة من اإلنترنت‪.‬‬
‫السيناريو‪ :‬لنفترض أن خادم التطبيق يتعامل مع طلبات ‪ ،XML‬والمهاجم يعرف أن التطبيق يستطيع‬ ‫‪‬‬
‫الوصول إلى عنوان ‪ IP‬محلي أو خدمة داخلية‪ .‬سيقوم المهاجم بإرسال ‪ XML‬ضار يحتوي على كيان خارجي‬
‫ُيشير إلى عنوان ‪ URL‬داخلي مثل‬
 ‫في هذا المثال‪ ،‬يحاول الكيان "‪ "xxe‬الوصول إلى خدمة داخلية على المنفذ ‪ 8080‬على الخادم‪ .‬إذا كانت هذه الخدمة‬ ‫‪‬‬
‫تحتوي على واجهة إدارية أو معلومات حساسة‪ ،‬سيستطيع المهاجم الوصول إليها‪.‬‬
‫‪ .Exploiting blind XXE exfiltrate data out-of-band‬‬

‫هذا النوع من الهجمات ال يعطي المهاجم نتائج مباشرة في استجابة التطبيق‪,‬لكن يستخدم المهاجم كياًنا خارجًيا إلرسال‬
‫البيانات المسروقة إلى خادم بعيد‪.‬‬

‫‪‬‬ ‫‪.Exploiting blind XXE to retrieve data via error messages‬‬

‫فى هذا النوع إذا فشل التطبيق في معالجة الملف بسبب أن الكيان الخارجي "‪ "xxe‬يحاول الوصول إلى ملف حساس‪،‬‬
‫فقد تظهر رسالة خطأ تحتوي على جزء من محتويات الملف‪ ،‬مما يسمح للمهاجم باستغالل هذه المعلومات‪.‬‬

‫الخطوات الرئيسية في التعامل مع ثغرة ‪ XXE‬في ‪:SIEM Solution‬‬

‫مراقبة األحداث واللوجات (‪:)Logs‬‬ ‫‪.1‬‬

‫راقبي سجالت الخادم الخاص بتطبيقات الويب أو األنظمة التي تقوم بتحليل ملفات ‪.XML‬‬ ‫‪o‬‬
‫سجالت الشبكة قد تحتوي على طلبات ‪ HTTP POST‬أو ‪ GET‬تحتوي على بيانات ‪.XML‬‬ ‫‪o‬‬
‫ابحثي عن طلبات غير معتادة مثل طلبات الوصول إلى ملفات نظامية (‪ etc/passwd/‬أو ‪config‬‬ ‫‪o‬‬
‫‪.)files‬‬

‫تنبيه بناًء على أنماط مشبوهة (‪:)Alerting‬‬ ‫‪.2‬‬

‫بناء قاعدة تنبيه داخل ‪ SIEM‬لتتبع أي نشاط يتعلق بكيانات خارجية (‪ )External Entities‬في ملفات ‪ .XML‬يمكن‬ ‫‪o‬‬
‫تحديد تنبيه عندما يكتشف ‪ SIEM‬طلب يحتوي على كيان خارجي‪.‬‬
‫مثال‪ :‬إذا تم اكتشاف كيان يشير إلى "‪ "//:file‬أو "‪ ،"//:http‬قد يكون هذا مؤشًر ا على محاولة استغالل ثغرة‬ ‫‪o‬‬
‫‪.XXE‬‬

‫هنا بعض األمثلة على القواعد (‪ )rules‬التي يمكن استخدامها في ‪ SIEM solutions‬مثل ‪ Splunk‬أو ‪ QRadar‬لمساعدتك‬
‫على اكتشاف استغالل ثغرة ‪.XXE‬‬

‫‪1. Rule for Detecting External Entity Declaration in XML Requests‬‬

‫هذه القاعدة تبحث عن الكلمات الرئيسية التي تدل على وجود كيان خارجي في الطلبات الواردة إلى السيرفر‪.‬‬
‫يمكن استخدامها للبحث في السجالت التي تحتوي على طلبات ‪ HTTP‬أو ‪SOAP‬‬

‫‪2.‬‬ ‫)‪Rule for Detecting Access to Sensitive Files (e.g., /etc/passwd‬‬

‫هذه القاعدة تبحث عن أي محاوالت للوصول إلى ملفات حساسة داخل النظام مثل ‪ ،etc/passwd/‬وهي مؤشر شائع‬
‫لمحاولة استغالل ثغرة ‪XXE‬‬

‫ع‬
‫ندما تظهر لك تنبيه (‪ )Alert‬على ‪ QRadar‬نتيجة لقواعد مثل التي ذكرناها سابًقا تشير إلى احتمالية استغالل ثغرة‬
‫‪ ،XXE‬هناك خطوات منظمة يجب عليك اتباعها كـ ‪ SOC Analyst‬إلجراء تحقيق (‪ )Investigation‬وتنفيذ ‪Incident‬‬
‫)‪ Response (IR‬بشكل صحيح‪ .‬إليك الخطوات التي يجب اتباعها‪:‬‬

‫‪ .1‬تحليل التنبيه (‪:)Alert Analysis‬‬

‫تأكيد التهديد‪ :‬قم بمراجعة تفاصيل التنبيه لمعرفة المزيد عن طبيعة النشاط المشبوه‪ .‬هل يتضمن التنبيه طلبات‬ ‫‪‬‬
‫‪ XML‬تحتوي على كيانات خارجية؟‬
‫مراجعة السجالت (‪ :)Logs‬افحص السجالت المرتبطة بالتنبيه مثل طلبات ‪ HTTP‬أو ‪ SOAP‬المتضمنة بيانات ‪،XML‬‬ ‫‪‬‬
‫وتأّكد إذا كان هناك محاوالت للوصول إلى كيانات خارجية أو ملفات حساسة‪.‬‬
‫التحقق من المستخدم‪/‬الجهاز المتأثر‪ :‬تحديد الجهاز أو عنوان الـ ‪ IP‬المتأثر وراجع سجالته لمعرفة ما إذا كان‬ ‫‪‬‬
‫هناك أنشطة مشبوهة أخرى صادرة من نفس المصدر‪.‬‬

‫‪ .2‬تحليل السياق (‪:)Contextual Analysis‬‬

‫تحديد مصدر الطلب (‪ :)Source‬افحص مصدر الطلب (مثل عنوان ‪ IP‬أو المستخدم) للتحقق ما إذا كان معروًفا أو‬ ‫‪‬‬
‫مرتبًطا بأنشطة غير طبيعية‪.‬‬
‫تحليل النشاط‪ :‬هل كان هناك أنشطة غير طبيعية قبل أو بعد التنبيه؟ على سبيل المثال‪ ،‬اتصاالت خارجية غير‬ ‫‪‬‬
‫مصرح بها‪ ،‬أو محاوالت لتحميل ملفات حساسة مثل ‪ etc/passwd/‬أو ‪.etc/shadow/‬‬
‫تتبع سلوكيات أخرى‪ :‬تأكد مما إذا كان هناك محاوالت الستخدام بروتوكوالت مثل ‪ ،//:file://, ftp‬التي قد‬ ‫‪‬‬
‫تشير إلى محاولة الوصول إلى موارد داخلية أو خارجية‪.‬‬

‫‪ .3‬تأكيد الحادث (‪:)Incident Confirmation‬‬

‫تحليل البيانات المتأثرة‪ :‬حدد ما إذا كانت أي بيانات حساسة قد تم الوصول إليها أو استخراجها من النظام‪.‬‬ ‫‪‬‬
‫تحديد مستوى الخطر‪ :‬هل تم الوصول إلى ملفات أو بيانات حساسة؟ إذا كان األمر كذلك‪ ،‬قم بتصنيف الحادث‬ ‫‪‬‬
‫بناًء على مستوى الخطر ومدى تأثيره‪.‬‬

‫‪ .4‬تنفيذ االستجابة (‪:)Incident Response‬‬

‫عزل النظام المتأثر‪ :‬إذا تم التأكد من أن الجهاز أو التطبيق قد تأثر‪ ،‬قم بعزله من الشبكة لمنع أي ضرر إضافي‪.‬‬ ‫‪‬‬
‫إغالق الثغرة (‪ :)Mitigation‬قم بتحديث أو إصالح أي ثغرات موجودة في التعامل مع ‪ XML‬في التطبيقات المتأثرة‬ ‫‪‬‬
‫(مثل تعطيل الكيانات الخارجية في ‪.)XML parsers‬‬
‫تنفيذ سياسات الحماية اإلضافية‪ :‬إذا لم تكن موجودة بالفعل‪ ،‬تأكد من تفعيل ‪ HSTS‬على الخوادم لحماية‬ ‫‪‬‬
‫االتصاالت من ‪ ،SSL Stripping‬واستخدم تقنيات إضافية لتقييد استغالل ‪ XXE‬مثل تحديث مكتبات ‪ XML‬إلى نسخ آمنة‪.‬‬

‫‪ .5‬التوثيق (‪:)Documentation‬‬

‫إعداد تقرير الحادث‪ :‬قم بتوثيق كل خطوة قمت بها خالل التحقيق‪ ،‬بما في ذلك التنبيه األصلي‪ ،‬تحليل السجالت‪،‬‬ ‫‪‬‬
‫وتفاصيل االستجابة‬

‫كيف تحمي المؤسسة من ثغرات ‪ XXE‬؟‬

‫تعطيل الكيانات الخارجية عند معالجة ملفات ‪ XML‬في التطبيقات‪.‬‬ ‫‪.1‬‬

‫تطبيق ‪ input validation‬تمنع تحميل ملفات ‪ XML‬غير موثوقة‪.‬‬ ‫‪.2‬‬
‫التأكد من تحديث مكتبات ‪ XML‬لتجنب الثغرات‪.‬‬ ‫‪.3‬‬
‫استخدام )‪ WAF (Web Application Firewall‬لمراقبة الطلبات والكشف عن محاوالت االستغالل‪.‬‬ ‫‪.4‬‬