كل سنة وانتم طيبين نحتفل باليوم الوطني
بطريقة سيبرانية
موضوع اليوم عن :
Attacking integration
التركيز في السلسلة والهجمات اغلبها بعيدا عن
مهاجمة API بتكون اغلبها خدمات PAAS
و SAAS
كان مصابة فيها بعض من الشركات التالية:
#اليومالوطنيالسعودي93
#الامن_السيبراني https://t.co/mVlUiFvM0j
تذكير بأنواع خدمات الكلاود
الصورة التالية تشرحها بطريقة مختصرة https://t.co/6N3Yi0QPW3
طرق الربط بين الخدمات السابقة تختلف
باختلاف اسباب الربط مثل :
1- الربط لمشاركة ملفات
2- مشاركة معلومات حساب لتسجيل الدخول
3- مشاركة نظام دعم فني وشات
4- خدمات دفع مشتريات
5- ربط لتعبئة نموذج Form
اليوم بشرح جزئي Payment bypass
المعروف أن ثغرات أنظمة الدفع في الأغلب تكون
ثغرات من نوع business logic
تلاعب بالاسعار
اليوم بنستهدف التكامل بين نظام دفع PayPal
واحدى المواقع العالمية التكامل كان فيه خطأ
عند استلام Token الدفع
السيناريو كالتالي:
1-زيارة للموقع
2- طلب الدفع عن طريق خدمة PayPal
3- سيتم إنشاء Token بين الموقع وخدمة
Paypal
4- الموقع ينتظر قيمة Token عند اكتمال الطلب وعند عدم اكمال الطلب لاترجع خدمة PayPal بإرجاع قيمة Token https://t.co/xhOTfjWwHL
