شخص اكتشف ثغرة أمنية خطيرة تُسمى "Path Traversal" (تخطي المسارات)، وهي ثغرة تسمح للمهاجم بالوصول إلى ملفات النظام الحساسة التي لا ينبغي أن تكون متاحة للعامة. كتب ".. /.. /.. /.. /.. /.. /.. /etc/passwd" بعد رابط صورة جوجل. ودفعت له 3,134 دولارا.
1. ماذا تعني الرموز ../../؟
في أنظمة التشغيل (مثل لينكس الذي تستخدمه خوادم جوجل)، النقطتان .. تعنيان "الرجوع خطوة واحدة للخلف" في المجلدات.
- تخيل أنك داخل مجلد صور على الموقع:
www.google.com/images/user/photo.jpg - عندما يضيف الشخص
../فإنه يخبر الخادم: "اخرج من مجلد الصور وارجع للمجلد الأب". - تكرارها عدة مرات
../../../../../../../هدفه الوصول إلى المجلد الرئيسي للجهاز (Root Directory).
2. ما هو ملف /etc/passwd؟
هذا واحد من أهم ملفات النظام في "لينكس". هو ملف يحتوي على قائمة بأسماء المستخدمين المسجلين على الخادم ومعلومات عن صلاحياتهم. الوصول إليه يعني أن المخترق استطاع "الخروج" من بيئة الموقع الإلكتروني والدخول إلى "قلب" نظام تشغيل الخادم نفسه.
3. كيف اكتشف الثغرة؟
كان هناك رابط (URL) في جوجل لخدمة معينة (غالباً تتعلق بمعالجة الصور أو تحميلها) يأخذ مسار الصورة كـ "بارامتر" (Parameter).
- بدلاً من أن يضع رابط صورة عادية، قام بوضع المسار الملغوم.
- الخطأ الذي وقعت فيه جوجل: هو أن النظام لم يقم بعمل "تطهير" (Sanitization) للمدخلات، فسمح للأمر بالمرور بدلاً من حظره، وقام الخادم بقراءة ملف النظام وعرض محتواه أمام الشخص.
4. لماذا دفعوا له 3,134 دولاراً؟
جوجل، مثل الشركات الكبرى، لديها برنامج يُسمى Google VRP (Vulnerability Reward Program). بدلاً من أن يقوم هذا الشخص بتسريب بيانات الخادم أو تدميره، قام بإرسال "تقرير" لجوجل يشرح فيه كيف فعل ذلك.
- المبلغ ($3,134$) هو مكافأة تقديرية بناءً على درجة خطورة الثغرة.
- ثغرة مثل هذه تُعتبر "حرجة" لأنها قد تؤدي لتسريب بيانات حساسة أو السيطرة الكاملة على الخادم.
التفاصيل الكامله لكيفية اخترق "فيفيك" لخوادم جوجل
إليك شرح ما فعله ببساطة وكيف حصل على هذا المبلغ من "برنامج مكافأة الثغرات" (Google Bug Bounty):
1. الباحث الأمني
- الاسم: Vivek PS.
- المكافأة: $3,134$ دولار أمريكي.
- نوع الثغرة: Path Traversal / Directory Traversal (تخطي المسارات).
2. كواليس الاكتشاف (أين وجد الثغرة؟)
بينما كان "فيفيك" يتفحص بعض الخدمات الملحقة بصور جوجل (Google Images) أو أدوات معالجة الصور التي تستخدمها جوجل داخلياً، لاحظ وجود رابط (URL) يحتوي على "بارامتر" (Parameter) وظيفته جلب صورة من المسار المخزن على الخادم.
الرابط كان يبدو تقريباً بهذا الشكل (كمثال):
https://www.google.com/service/get-image?file=user_profile_123.jpg
3. الهجوم: فكرة الـ "Dot-Dot-Slash"
لاحظ فيفيك أن النظام يأخذ اسم الملف user_profile_123.jpg ويبحث عنه داخل مجلد محدد، ولنسمّه /var/www/images/.
قام فيفيك بتجربة ذكية؛ بدلاً من طلب صورة، قرر محاولة "الخروج" من هذا المجلد والوصول إلى ملفات نظام التشغيل (Linux) الذي يعمل عليه الخادم. فقام بكتابة التسلسل التالي:
../../../../../../../etc/passwd
تحليل الكود:
../: تعني في أنظمة لينكس "الرجوع للمجلد السابق".- التكرار 7 مرات: يضمن العودة من المجلدات العميقة حتى الوصول إلى "المجلد الرئيسي" (Root Directory) للنظام.
/etc/passwd: هو ملف النظام الشهير الذي يحتوي على معلومات جميع المستخدمين المسجلين على الخادم.
4. النتيجة الصادمة
عندما ضغط "Enter"، لم يظهر له خطأ "File Not Found"، بل قام خادم جوجل بتنفيذ الأمر حرفياً وفتح ملف /etc/passwd وعرض محتوياته (نصوص برمجية وأسماء مستخدمين) مباشرة في المتصفح!
هذا يعني أن جوجل ارتكبت خطأ برمجياً يسمى "عدم تطهير المدخلات" (Sanitization)؛ حيث وثقت في الكود الذي كتبه المستخدم ولم تتأكد إذا كان يحاول الوصول لملفات خارج نطاق المجلد المسموح به.
5. التبليغ والمكافأة
كباحث أخلاقي، لم يستغل فيفيك هذه الثغرة لسحب بيانات أو تدمير الخادم، بل قام فوراً بالخطوات التالية:
- توثيق الثغرة: سجل فيديو وكتب تقريراً يوضح فيه الرابط المصاب وكيفية استغلاله.
- الإرسال لجوجل: أرسل التقرير عبر برنامج Google VRP (برنامج مكافأة الثغرات).
- الاستجابة: أكدت جوجل وجود الثغرة وصنفتها بدرجة "خطيرة" (High Severity).
- الجائزة: تم صرف مكافأة له بقيمة 3,134 دولاراً، وتم إدراج اسمه في قائمة الشرف للباحثين الأمنيين لدى جوجل.
لماذا تعتبر هذه الثغرة "محرجة" لشركة مثل جوجل؟
رغم بساطة الكود ../../ إلا أن خطورته تكمن في أنه يعطي المخترق "خريطة" للخادم. إذا استطاع الوصول لملف /etc/passwd قد يحاول الوصول لملفات أخرى تحتوي على:
- مفاتيح التشفير (Private Keys).
- كلمات مرور قواعد البيانات.
- أكواد المصدر (Source Code) الخاصة بجوجل.
الدرس المستفاد للمطورين:
"لا تثق أبداً في أي مدخلات تأتي من المستخدم"؛ يجب دائماً فحص الروابط والتأكد من أنها لا تحتوي على رموز الرجوع للخلف أو مسارات حساسة.
الخلاصة
هذا الشخص لم "يهكر" جوجل بالمعنى الإجرامي، بل عمل كـ "هكر أخلاقي" (White Hat Hacker). هو بحث عن ثغرة برمجية في طريقة تعامل جوجل مع الروابط، وأثبت وجودها باستخدام هذا الكود البسيط، وجوجل كافأته لأن تقريره ساعدهم في إغلاق هذه الثغرة قبل أن يستغلها شخص سيء النية.
هل انت مهتم بالـ SEO وتطوير الويب، هل واجهت سابقاً أي محاولات اختراق مشابهة أو قمت بتأمين ملفات الـ .htaccess في موقعك ضد هذه الهجمات؟
تفاصيل القصة الكاملة لهذا الاختراق الذي يعد درساً كلاسيكياً في أمن المعلومات، والباحث الذي نال هذه المكافأة هو "Vivek PS" (فيفيك بي إس)، وهو باحث أمني ومدون تقني معروف في مجتمع "صائدي الثغرات" (Bug Hunters).
شكرا جزيلا لك