أمن تطبيقات الويب
 | حذف سريع: هذه الصفحة قد تستوفي أحد معايير الحذف السريع، السبب: مقالة مكررة عن مقالة أخرى ولا تقبل التحويل. إذا لم تكن تستوفي أحد المعايير، أو كنت تريد إصلاحها، أزل هذه الرسالة، لكن إن كنت منشئ الصفحة، ضع {{نسخ:تمهل}} تحت هذه الرسالة، واشرح في صفحة النقاش لماذا لا ينبغي حذفها. ناقش
للإداريين: تحقق من الوصلات والتاريخ (التعديل الأخير) والسجلات قبل الحذف. آخر تعديل: من أحمد أبو عباس (مساهمات | سجلات) منذ ثانيتين.
ضع القالب: {{نسخ:تنبيه شطب|أمن تطبيقات الويب}} ~~~~ أسفل صفحة نقاش منشئ الصفحة.الصفحات التي تصل لهذه الصفحة
|
 | هذه مقالة غير مراجعة. (أكتوبر 2024) |
أمن تطبيقات الويب (بالإنجليزية: Web Application Security) من المجالات المهمة خاصة بعد انتشار العديد من المواقع و تطبيقات الويب الخاصة بالشركات و الحكومات و الأفراد. ومع هذا الانتشار الواسع أصبح من المهم الإهتمام بأمن هذه المواقع و ترقيع الثغرات الأمنية التي بها.
المقدمة
[عدل]التزايد المستمر في إنشاء صفحات الويب يجعلها عرضة للقرصنة و تسريب بيانات المستخدمين و التي يمكن أن تحتوي علي معلومات حساسة مثل:
- اسم المستخدم و كلمات المرور.
- أرقام البطاقات البنكية.
- سجلات التحويل البنكي.
- بطاقة التعريف الشخصي.
- إلخ.
وتزداد خطورة البيانات إذا تعلقت بجهة حكومية أو مؤسسة عسكرية، إذ من الممكن إستخدام هذه البيانيات ضدد هذه الجهة.
السبب وراء حدوث الثغرات الأمنية
[عدل]هناك عوامل كثيرة قد تؤدي إلي حدوث الثغرة ولكن السبب الأول و الأهم هو أخطاء المطورين لهذا الموقع، من الممكن أن يقع المطورين في أخطاء كثيرة عند العمل علي تطوير الموقع و التي قد تؤدي إلي ظهورالعديد من الثغرات في الموقع.
ومن الأخطاء التي يقع فيها المطور هو أن يثق في مدخلات المستخدم للتطبيق، علي سبيل المثال إذا كان هناك حقل إدخال بيانات يسمح بإدخال إسم المستخدم و لكن عندما عمل المطور علي هذه الجزئية من التطبيق لم يضع بالحسبان أنه من الممكن إدخال أي شيئ في هذا الحقل مما قد يشكل خطورة بالغة علي التطبيق.[1]
أشهر الثغرات الأمنية
[عدل]يوجد العديد من الثغرات الأمنية التي تستهدف المواقع، و كل ثغرة تختلف عن الأخري في:
- كيفية العثور عليها.
- نظام تسجيل نقاط الضعف المشترك (CVSS).
- كيفية إستغلالها.
- طريقة ترقيع الثغرة.
و من أمثلة هذة الثغرات و أشهرها ثغرة تسمي حقن النصوص البرمجية للغة الاستعلامات المهيكلة (SQL Injection)، تعد هذه الثغرة أحد أهم و أشهر الثغرات مما تسببة من خطورة عالية علي التطبيق، هذه الثغرة تستغل قواعد البيانات الخاصة بالتطيق حيث تجبر الموقع علي عرض جداول البينانات و التي من الممكن أن تحتوي علي معلومات حساسة حول المستخدمين.
| الأسم بالعربية (ترجمة حرفية) | الأسم بالإنجليزية | مؤشر الخطورة |
|---|---|---|
| تنفيذ التعليمات البرمجية عن بعد | Remote Code Execution (RCE) | 9.0-10.0 |
| حقن النصوص البرمجية للغة الاستعلامات المهيكلة | SQL Injection (SQLi) | 7.5-9.8 |
| البرمجة عابرة للمواقع | Cross-Site Scripting (XSS) | 6.0-8.0 |
| تزوير طلب عبر الموقع | Cross-Site Request Forgery (CSRF) | 6.5-9.3 |
| تجاوز المصادقة | Authentication Bypass | 8.0-9.8 |
| عبور المجلد | Directory Traversal | 7.0-9.0 |
| إلغاء التسلسل الغير الآمن | Insecure Deserialization | 7.5-9.8 |
يوجد أيضا مشروع قائمة الثغرات الأشهر لمنظمة اوساب (OWASP Top 10)، و التي تحتوي علي أشهر 10 نقاط ضعف في المواقع.
برامج المكافئة المادية
[عدل].svg){kind=icon}
تعد برامج المكافئة المادية أحد أهم الطرق للتقليل من مخاطر تطبيقات الويب حيث تقوم الشركة أو المنظمة بإنشاء برنامج خاص بمواقعها و تطبيقاتها علي الإنترنت لكي يقوم مختبرين الإختراق عبر العالم بإختبار الموقع و إكتشاف الثغرات مقابل مبلغ مادي.
ويتم إنشاء هذا البرنامج علي أحد منصات برامج المكافئة المادية مثل:
- هاكروان Hackerone.
- بج كراود bugcrowd.
انظر أيضاً
[عدل]المراجع
[عدل]- ^ Wolf, Arctic (8 Feb 2023). "Why Vulnerabilities Remain Persistent". Arctic Wolf (بالإنجليزية الأمريكية). Archived from the original on 2024-05-23. Retrieved 2024-10-05.
- ^ "CVSS Score Distribution Reports and Trends Over Time". www.cvedetails.com (بالإنجليزية). Archived from the original on 2024-09-24. Retrieved 2024-10-05.
