تخطي التحقق بخطوتين

يحتوي هذا الكتيب على شرح مبسط وعميق لمفهوم المصادقة الثنائية (2FA)، مع تسليط الضوء على أهميتها في حماية الحسابات الرقمية. يتضمن الكتاب أيضًا توضيحًا لأسباب دراسة طرق تجاوز 2FA في سياق الاختبارات الأمنية الأخلاقية، بهدف رفع الوعي وفهم نقاط الضعف المحتملة.

يستعرض الفصل الرابع أكثر من 19 طريقة شائعة يمكن أن تُستخدم لتجاوز المصادقة الثنائية، بدءًا من التلاعب بالكوكيز وصولًا إلى استغلال الجلسات والثغرات في الكود. تم شرح كل طريقة بشكل مبسط مع أمثلة واقعية وملاحظات فنية مهمة.

كما يحتوي الكتيب في نهايته على فصل مخصص لأهم وسائل الدفاع والتوصيات العملية التي تساعد المطورين وأصحاب المواقع على تعزيز أمان المصادقة الثنائية ومنع استغلالها.

هذا الكتيب موجه للمهتمين بالأمن السيبراني، والمختبرين الأمنيين، وكل من يسعى لفهم الطرق المستخدمة لاختبار أمان الأنظمة بهدف تقويتها، وليس الإضرار بها

الفهرس

  1.  مقدمة

  2.  ما هي المصادقة الثنائية (2FA)؟

  3.  لماذا نحتاج لتجاوز 2FA في الاختبارات الأمنية؟

  4.  الطرق الشائعة لتجاوز المصادقة الثنائية:

  •  4.1 التلاعب بملفات تعريف الارتباط (Cookies Manipulation)

  •  4.2 هجوم Clickjacking لتعطيل 2FA

  •  4.3 التلاعب في الاستجابة (Response Tampering)

  •  4.4 تعديل رمز الحالة (Status Code Manipulation)

  •  4.5 إعادة استخدام رمز 2FA (Replay Attack)

  •  4.6 غياب حماية CSRF في 2FA

  •  4.7 إساءة استخدام الرموز الاحتياطية (Backup Codes)

  •  4.8 استمرار الجلسات بعد تفعيل 2FA

  •  4.9 الوصول المباشر لصفحات بعد التحقق

  •  4.10 تسرب رمز 2FA في الرد

  •  4.11 تحليل ملفات JavaScript بحثًا عن ثغرات

  •  4.12 غياب الحماية من القوة الغاشمة

  •  4.13 تعطيل 2FA عبر تغيير البريد أو كلمة المرور

  •  4.14 استخدام رموز صالحة من حسابات أخرى

  •  4.15 الطلب المباشر بدون تحقق

  •  4.16 إعادة استخدام الرموز المميزة (Tokens)

  •  4.17 مشاركة الجلسات بين الحسابات

  •  4.18 تسرب الرموز في استجابات السيرفر

  •  4.19 استغلال الجلسة لتجاوز التحقق

  5.  طرق الدفاع والتوصيات

  6.  خاتمه