تشكل هجمات Man-in-the-middle (MitM) تهديدًا كبيرًا لأمن الويب. في هذه الهجمات، يعترض ممثل خبيث الاتصال بين العميل والخادم، مما يسمح له بالتنصت على البيانات أو معالجتها أو سرقتها. ستستكشف هذه المدونة كيفية عمل هجمات MitM في سياق تطبيقات JavaScript وستقدم خطوات عملية لتأمين تطبيقك ضد هذه التهديدات.

ما هو هجوم الرجل في الوسط؟

يحدث هجوم رجل في الوسط عندما يقوم مهاجم باعتراض الرسائل سرًا ونقلها بين طرفين يعتقدان أنهما يتواصلان بشكل مباشر مع بعضهما البعض. يمكن أن يؤدي هذا الاعتراض إلى الوصول غير المصرح به إلى البيانات الحساسة، مثل بيانات اعتماد تسجيل الدخول والمعلومات المالية والتفاصيل الشخصية.

كيف تعمل هجمات MitM

يمكن تنفيذ هجمات MitM بطرق مختلفة، بما في ذلك:

1. انتحال DNS: يتضمن انتحال DNS تغيير سجلات DNS لإعادة توجيه المستخدمين إلى مواقع الويب الضارة.

مثال:
لنفترض أنك قمت بنشر تطبيق Node.js وReact على xyz.com. يمكن للمتسلل التلاعب بسجلات DNS بحيث عندما يحاول المستخدمون زيارة xyz.com، تتم إعادة توجيههم إلى موقع ضار يبدو مطابقًا لموقعك.

خطوات لمنع انتحال DNS:

• استخدم DNSSEC (امتدادات أمان نظام أسماء النطاقات) لإضافة طبقة إضافية من الأمان.
• مراقبة سجلات DNS الخاصة بك وتحديثها بانتظام.
• استخدم موفري DNS ذوي السمعة الطيبة الذين يقدمون ميزات أمان ضد انتحال DNS.

# Example of enabling DNSSEC on your domain using Cloudflare
# Visit your domain's DNS settings on Cloudflare
# Enable DNSSEC with a single click

2. إب خداع
يتضمن انتحال IP التظاهر بأنه عنوان IP موثوق به لاعتراض حركة مرور الشبكة.

مثال:
يمكن للمهاجم أن ينتحل عنوان IP الخاص بخادمك لاعتراض حركة المرور بين عملائك وخادم Node.js.

خطوات لمنع انتحال عنوان IP:

• تنفيذ القائمة البيضاء لعناوين IP للسماح فقط لعناوين IP الموثوقة بالاتصال بخادمك.
• استخدم إجراءات الأمان على مستوى الشبكة مثل شبكات VPN وجدران الحماية.
• تأكد من التحقق من صحة عناوين IP وتصفيتها على الخادم الخاص بك.

// Example of IP whitelisting in Express.js
const express = require('express');
const app = express();

const allowedIPs = ['123.45.67.89']; // Replace with your trusted IPs

app.use((req, res, next) => {
  const clientIP = req.ip;
  if (!allowedIPs.includes(clientIP)) {
    return res.status(403).send('Forbidden');
  }
  next();
});

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

3. انتحال HTTPS
يتضمن انتحال HTTPS إنشاء شهادات SSL مزيفة لانتحال صفة موقع ويب آمن.

مثال:
يمكن للمهاجم إنشاء شهادة SSL مزيفة لموقع xyz.com وإعداد خادم ضار يبدو مطابقًا لخادمك الشرعي.

خطوات لمنع انتحال HTTPS:

• استخدم شهادة الشفافية لمراقبة وتسجيل جميع الشهادات الصادرة لنطاقك.
• قم بتنفيذ تثبيت المفتاح العام لـ HTTP (HPKP) لربط المفتاح العام المشفر لخادم الويب الخاص بك بمجموعة معينة من مواقع ويب HTTPS.

// Example of implementing HPKP in Express.js
const helmet = require('helmet');
const app = express();

app.use(helmet.hpkp({
  maxAge: 60 * 60 * 24 * 90, // 90 days
  sha256s: ['yourPublicKeyHash1', 'yourPublicKeyHash2'], // Replace with your public key hashes
  includeSubDomains: true
}));

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

4. التنصت على شبكة Wi-Fi
يتضمن التنصت على شبكة Wi-Fi اعتراض البيانات المنقولة عبر شبكات Wi-Fi غير الآمنة.

مثال:
يمكن للمتسلل إنشاء نقطة اتصال Wi-Fi ضارة واعتراض البيانات المنقولة بين المستخدمين وخادمك عند اتصالهم بها.

خطوات لمنع التنصت على شبكات الواي فاي:

• تشجيع المستخدمين على الاتصال بشبكات Wi-Fi الآمنة فقط.
• تنفيذ التشفير الشامل (E2EE) لحماية البيانات المنقولة بين العميل والخادم.
• استخدم شبكات VPN لتشفير حركة المرور بين العملاء والخادم الخاص بك.

// Example of enforcing HTTPS in Express.js
const express = require('express');
const app = express();

app.use((req, res, next) => {
  if (req.headers['x-forwarded-proto'] !== 'https') {
    return res.redirect(['https://', req.get('Host'), req.url].join(''));
  }
  next();
});

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

منع هجمات MitM في تطبيقات JavaScript

1. استخدم HTTPS في كل مكان
تأكد من تشفير جميع الاتصالات بين العميل والخادم باستخدام HTTPS. استخدم أدوات مثل Let's Encrypt للحصول على شهادات SSL/TLS مجانية.

// Enforce HTTPS in Express.js
const express = require('express');
const app = express();

app.use((req, res, next) => {
  if (req.headers['x-forwarded-proto'] !== 'https') {
    return res.redirect(['https://', req.get('Host'), req.url].join(''));
  }
  next();
});

// Your routes here

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

2. التحقق من صحة شهادات SSL/TLS
استخدم التحقق القوي من شهادات SSL/TLS وتجنب الشهادات الموقعة ذاتيًا في الإنتاج.

3. تنفيذ سياسة أمان المحتوى (CSP)
استخدم رؤوس CSP لتقييد المصادر التي يمكن لتطبيقك تحميل الموارد منها، مما يقلل من خطر إدخال البرامج النصية الضارة.

// Setting CSP headers in Express.js
const helmet = require('helmet');
app.use(helmet.contentSecurityPolicy({
  directives: {
    defaultSrc: ["'self'"],
    scriptSrc: ["'self'", 'trusted.com'],
    styleSrc: ["'self'", 'trusted.com']
  }
}));

4. استخدام ملفات تعريف الارتباط الآمنة
تأكد من وضع علامة على ملفات تعريف الارتباط على أنها آمنة وHttpOnly لمنع الوصول إليها من خلال البرامج النصية من جانب العميل.

// Setting secure cookies in Express.js
app.use(require('cookie-parser')());
app.use((req, res, next) => {
  res.cookie('session', 'token', { secure: true, httpOnly: true });
  next();
});

5. تنفيذ HSTS (أمان النقل الصارم لـ HTTP)
استخدم HSTS لإجبار المتصفحات على الاتصال بخادمك فقط عبر HTTPS.

// Setting HSTS headers in Express.js
const helmet = require('helmet');
app.use(helmet.hsts({
  maxAge: 31536000, // 1 year
  includeSubDomains: true,
  preload: true
}));

يمكن أن يكون لهجمات Man-in-the-Middle عواقب وخيمة على تطبيقات الويب، مما يؤدي إلى سرقة البيانات وهجمات الحقن. من خلال فهم كيفية عمل هذه الهجمات وتنفيذ إجراءات أمنية قوية، يمكنك حماية تطبيقات JavaScript الخاصة بك وضمان سلامة بيانات المستخدمين. استخدم دائمًا HTTPS، والتحقق من صحة شهادات SSL/TLS، وتنفيذ CSP، وتأمين ملفات تعريف الارتباط، وفرض HSTS للتخفيف من مخاطر هجمات MitM.