Merge pull request #21 from 0xMohammed/patch-17

Update 0xa9-improper-assets-management.md

Author: Malajab

2019/ar/src/0xa9-improper-assets-management.md

@@ -10,7 +10,7 @@
     <td> الانتشار : 3 قابلية الاكتشاف : 2  </td>
     <td> التأثر التقني و تأثر الاعمال: 2 </td>
   </tr> 
-     <td> ان استخدام واجهة برمجة التطبيقات القديمة و الغير محدثة هو اسهل طريقة تسبب اختراق الأنظمة لديك دون الحاجة والجهد الذي قد يبذلها المهاجم حتى وان كانت أدوات ومكونات الأمان تم ايجادها بشكل صحيح وسليم، ولكن جميع تلك الأدوات والمكونات وجدت للأنظمة الحديثة و المتطورة من واجهة برمجة التطبيقات API.</td>
+     <td> ان استخدام واجهة برمجة التطبيقات Api القديمة و الغير محدثة هو اسهل طريقة تسبب اختراق الأنظمة لديك دون الحاجة والجهد الذي قد يبذلها المهاجم حتى وان كانت أدوات ومكونات الأمان تم ايجادها بشكل صحيح وسليم، ولكن جميع تلك الأدوات والمكونات وجدت للأنظمة الحديثة و المتطورة من واجهة برمجة التطبيقات API.</td>
     <td> ان عمليات التوثيق الغير محدثة تجعل من الصعب تتبع واصلاح الثغرات. وكذلك عدم جرد الأصول التقنية يؤدي بشكل مباشر الى عدم ترقيع الأنظمة من الثغرات الأمنية، والذي قد يؤدي الى تسريب للبيانات. وكما انه من الشائع رصد واجهة برمجة التطبيقات API متاحة على الانترنت دون الحاجة لها بسبب الأنظمة والمفاهيم الحديثة في الخدمات المصفرة والتي تجعل من التطبيقات سهلة النشر ومستقلة على سبيل المثال (الحوسبة السحابية) </td>
     <td> قد يتمكن المهاجمون من الوصول الى بيانات حساسة غير مصرح لهم بالوصول لها، او حتى اختراق الخادم من خلال استغلال احد الثغرات الغير مرقعه لخدمات واجهة برمجة التطبيقات API والتي تستخدم للاتصال بقاعدة البيانات. </td>    
   </tr>
@@ -19,7 +19,7 @@
 
 <h3 dir='rtl' align='right'>هل أنا معرض لهذه الثغرة؟</h3>
 
-<p dir='rtl' align='right'> قد يكون معرض واجهة برمجة التطبيقات لمثل هذه الثغره في حالة : 
+<p dir='rtl' align='right'> قد يكون واجهة برمجة التطبيقات معرض لمثل هذه الثغره في حالة : 
 
 <p dir='rtl' align='right'>▪️ الغرض من استخدام واجهة برمجة التطبيقات غير واضح والذي قد يقود للأسئلة التالية: 
 <p dir='rtl' align='right'> -  ما هي البيئة التي تعمل فيها واجهة برمجة التطبيقات (على سبيل المثال ، الإنتاج ، التدريج ، الاختبار ، التطوير)؟
@@ -37,12 +37,12 @@
 
 <h4 dir='rtl' align='right'>السيناريو الاول: </h4>
 
-<p dir='rtl' align='right'> بعد إعادة عملية تصميم التطبيقات، لم يتم الاهتمام بترقية الإصدار الخاص بواجهة برمجة التطبيقات API بل تم استخدام القديم وهو متوفرة على المسار التالي api.someservice.com/v1. وهو المستخدم وغير محمي، مع إمكانية الوصول الى قاعدة البيانات بصلاحيات مستخدم. وبعد عمليات الفحص من قبل المهاجمين في التطبيقات المعاد تصميمها وهي على المسار التالي api.someservice.com/v2. بعد عملية تخمين بسيطة جداً تم تغير /v2  الى v1  في المسار للموقع والذي منح المهاجم إمكانية الوصول لواجهة برمجة التطبيقات القديمة والغير محدثة والتي أدت الى تسريب معلومات حساسة لأكثر من 100 مليون مستخدمة ومنه معلومات شخصية.
+<p dir='rtl' align='right'> بعد إعادة عملية تصميم التطبيقات، لم يتم الاهتمام بترقية الإصدار الخاص بواجهة برمجة التطبيقات API بل تم استخدام القديم وهو متوفر على المسار التالي api.someservice.com/v1. وهو المستخدم وغير محمي، مع إمكانية الوصول الى قاعدة البيانات بصلاحيات مستخدم. وبعد عمليات الفحص من قبل المهاجمين في التطبيقات المعاد تصميمها وهي على المسار التالي api.someservice.com/v2. بعد عملية تخمين بسيطة جداً تم تغير /v2  الى v1  في المسار للموقع والذي منح المهاجم إمكانية الوصول لواجهة برمجة التطبيقات القديمة والغير محدثة والتي أدت الى تسريب معلومات حساسة لأكثر من 100 مليون مستخدمة ومنه معلومات شخصية.
 
 
 <h4 dir='rtl' align='right'>السيناريو الثاني : </h4>
 
-<p dir='rtl' align='right'> تقوم منصات التواصل الاجتماعي باستخدام آلية مبتكرة لمنع هجمات كسر كلمات المرور من خلال تحديد معدل الطلبات وذلك بهدف تقليل محاولات الاختراق. ولكن آلية الأمان تلك لم يتم تطبيقها على الكود الخاص بواجهة برمجة التطبيقات API. بل قاموا بفصلها لكي تكون ما بين المستخدم و API. (www.socialnetwork.com). واحد الباحثين قام بإيجاد النطاق الحاص بـAPI (www.mbasic.beta.socialnetwork.com) والذي يستطيع من خلاله القيام بنفس المهام التي تقوم بها منصة التواصل الاجتماعي بما في ذلك إعادة تعين كلمات المرور من خلال استخدام أسلوب مصادقة يتم استخدامه من قبل المنصة وهو عبارة عن رمز مكون من 6 ارقام يتم إدخاله في حال طلبت استعادة كلمة المرور.
+<p dir='rtl' align='right'> تقوم منصات التواصل الاجتماعي باستخدام آلية مبتكرة لمنع هجمات كسر كلمات المرور من خلال تحديد معدل الطلبات وذلك بهدف تقليل محاولات الاختراق. ولكن آلية الأمان تلك لم يتم تطبيقها على الكود الخاص بواجهة برمجة التطبيقات API. بل قاموا بفصلها لكي تكون ما بين المستخدم و API. (www.socialnetwork.com). و أحد الباحثين قام بإيجاد النطاق الخاص بـAPI (www.mbasic.beta.socialnetwork.com) والذي يستطيع من خلاله القيام بنفس المهام التي تقوم بها منصة التواصل الاجتماعي بما في ذلك إعادة تعين كلمات المرور من خلال استخدام أسلوب مصادقة يتم استخدامه من قبل المنصة وهو عبارة عن رمز مكون من 6 ارقام يتم إدخاله في حال طلبت استعادة كلمة المرور.
 
 
 
@@ -54,14 +54,11 @@
 <p dir='rtl' align='right'>▪️ 	قم باستخدام بعض الطرق والتقنيات الالية لأغراض التوثيق المبنية على معايير أساسية والتي تشمل وثائق CI/CD 
 <p dir='rtl' align='right'>▪️ 	التأكد من ان الوثائق متاحة للأشخاص المصرح لهم فقط.
 <p dir='rtl' align='right'>▪️ 	التأكد من استخدام التدابير الوقائية اللازمة مثل جدران الحماية الخاصة بواجهة برمجة التطبيقات API لجميع واجهة برمجة التطبيقات المتصلة بالأنترنت وليس فقط المتوفر في بيئة التشغيل.
-<p dir='rtl' align='right'>▪️ 	تجنب استخدام مصادر البيانات على البيئة التشغيلية باستخدام واجهة برمجة التطبيقات غير جاهز للعمل في تلك البيئة، وفي حال توجب عليك استخدامه فجيب تطبيق عليه جميع المعايير الأمنية نفسها التي تم تطبيقها على بيئة التشغيل.
+<p dir='rtl' align='right'>▪️ 	تجنب استخدام مصادر البيانات على البيئة التشغيلية باستخدام واجهة برمجة التطبيقات Api غير جاهز للعمل في تلك البيئة، وفي حال توجب عليك استخدامه فيجب تطبيق عليه جميع المعايير الأمنية نفسها التي تم تطبيقها على بيئة التشغيل.
 <p dir='rtl' align='right'>▪️ 	في حال كانت الإصدارات الحديثة من واجهة برمجة التطبيقات تحتوي على معايير امان افضل، قم بأجراء تحليل للمخاطر لاتخاذ القرارات والإجراءات التي تخفف من الضرر على الإصدار الحالي. على سبيل المثال اذا كان من الممكن تعطيل الإصدار السابق من دون الاضرار بواجهة برمجة التطبيقات والانتقال للإصدار الحديث بشكل تدريجي او من الممكن اجبار المستخدمين على الانتقال الى الإصدار الحديث بشكل عاجل. 
 
 
-<h4 dir='rtl' align='right'>المراجع :  </h4>
+<h4 dir='rtl' align='right'>المصادر الخارجية : </h4>
 
 [<p dir='rtl' align='right'>▪️ CWE-1059: Incomplete Documentation </p>](https://cwe.mitre.org/data/definitions/1059.html)
 [<p dir='rtl' align='right'>▪️ OpenAPI Initiative </p>](https://www.openapis.org/)
-
-<h4 dir='rtl' align='right'>المصادر الخارجية : </h4>
-