Unrestricted Access to Sensitive Business Flows

الوصول غير المقيد إلى تدفقات الأعمال الحساسة

what is:

  • It's the first time the Top 10 specifically mentions business risk that can be exposed from vulnerable APIs

  • المشكلة هي إن المخترقين أو الناس اللي عايزة تستفيد بشكل غير عادل من نظام الشركة ممكن يستغلوا الـAPI ده بطريقة مش طبيعية. يعني بدل ما الشخص العادي يدخل يشتري منتج واحد، المخترق يقدر يشتري كل الكمية بسرعة جدًا

  • إزاي المخترقين بيعملوا كده؟

    المخترق بيستخدم تقنيات وأدوات ذكية عشان يتجنب الحماية اللي الشركة حطاها. مثلاً:

    • تغيير الـIP بسرعة: الـIP هو العنوان اللي بيعرف بيه الكمبيوتر الخاص بيك على الإنترنت. المخترق يقدر يغير الـIP كل شوية عشان يبان إنه شخص جديد في كل مرة يطلب فيها المنتج.

    • تغيير الـCookies: الـCookies بتساعد الموقع يعرف الشخص اللي داخل عليه. المخترق يقدر يمسح أو يغير الـCookies عشان يبان كأنه شخص جديد كل مرة.

    • استخدام برمجيات تعمل عمليات بشكل تلقائي وسريع: المخترق يقدر يستخدم برامج تعمل آلاف الطلبات في وقت قصير جدًا.

  • الفكرة ببساطة:

    فيه ناس ممكن تستغل الأنظمة عن طريق الـAPIs بشكل غير عادل، ويعملوا عمليات احتيال كبيرة زي شراء كل المنتجات أو استغلال المكافآت. الشركات لازم تحمي نفسها بإنها تفهم تدفقات العمل بتاعتها وتضع ضوابط ذكية لمنع العمليات الغير عادية أو الاحتيال

Example:

  • مثال الحفلات: تخيل لو في تذاكر حفلة بتتباع على الإنترنت، وكل الناس عايزة تشتريها. المخترق يستخدم الـAPI بطريقة تجعله يشتري كل التذاكر في ثواني، والناس العادية تلاقي التذاكر خلصت.

  • مثال المكافآت: لو في شركة بتعمل عرض إنك تاخد مكافأة لو جبت أصحابك يشتركوا. المخترق يقدر يعمل حسابات وهمية كتير ويستغل الـAPI عشان يعمل آلاف الاشتراكات، وياخد كل المكافآت بدون ما حد يلاحظ.

طيب ليه دي مشكلة كبيرة؟

  • فقدان المنتجات: الشركة ممكن تخسر كل منتجاتها لأن المخترق اشترى كل الكمية.

  • خسارة فلوس: عمليات الاحتيال دي ممكن تخلي الشركة تخسر فلوس كتير.

  • ضرب سمعة الشركة: لما الناس تلاقي منتجات أو تذاكر خلصت بسرعة بسبب الاحتيال، سمعة الشركة بتتأثر.

  • ضياع الفرصة على العملاء العاديين: الناس اللي عايزة تشتري بجد مش هتقدر تلاقي المنتج لأن المخترقين أخذوا كل حاجة.

Prevention:

  • تحليل تدفقات العمل (Business Flows): يعني الشركة لازم تفهم كويس إيه العمليات اللي بتعتبر حساسة أو مهمة. زي عملية الشراء أو الاشتراك في العروض.

  • وضع ضوابط ذكية: لازم يكون في وسائل تكشف النشاط الغريب أو المبالغ فيه. زي مثلاً:

    • لو فيه شخص بيعمل عمليات شراء بسرعة كبيرة جدًا، النظام يعرف إن فيه شيء غلط.

    • لو فيه شخص بيعمل آلاف الاشتراكات في وقت قصير، النظام يحظر العملية.

  • الاختبار المستمر: لازم الشركة تختبر الحماية دي دايمًا عشان تتأكد إنها شغالة صح. يعني تختبر هل فعلاً المخترق مش يقدر يشتري كل المنتجات أو يستغل العروض.

PreviousBroken Function Level Authorization (BFLA)Nextserver Side Request Forgery(SSRF)

Last updated