كل سنة وانتم طيبين نحتفل باليوم الوطني

بطريقة سيبرانية

موضوع اليوم عن :

Attacking integration

التركيز في السلسلة والهجمات اغلبها بعيدا عن

مهاجمة API بتكون اغلبها خدمات PAAS

و SAAS

كان مصابة فيها بعض من الشركات التالية:

#اليومالوطنيالسعودي93

#الامن_السيبراني https://t.co/mVlUiFvM0j

تذكير بأنواع خدمات الكلاود

الصورة التالية تشرحها بطريقة مختصرة https://t.co/6N3Yi0QPW3

طرق الربط بين الخدمات السابقة تختلف

باختلاف اسباب الربط مثل :

1- الربط لمشاركة ملفات

2- مشاركة معلومات حساب لتسجيل الدخول

3- مشاركة نظام دعم فني وشات

4- خدمات دفع مشتريات

5- ربط لتعبئة نموذج Form

اليوم بشرح جزئي Payment bypass

المعروف أن ثغرات أنظمة الدفع في الأغلب تكون

ثغرات من نوع business logic

تلاعب بالاسعار

اليوم بنستهدف التكامل بين نظام دفع PayPal

واحدى المواقع العالمية التكامل كان فيه خطأ

عند استلام Token الدفع

السيناريو كالتالي:

1-زيارة للموقع

2- طلب الدفع عن طريق خدمة PayPal

3- سيتم إنشاء Token بين الموقع وخدمة

Paypal

4- الموقع ينتظر قيمة Token عند اكتمال الطلب وعند عدم اكمال الطلب لاترجع خدمة PayPal بإرجاع قيمة Token https://t.co/xhOTfjWwHL