مستخدم:Aabdelhalem/ملعب/أمن تطبيقات الويب

أمن تطبيقات الويب (بالإنجليزية: Web Application Security) من المجالات المهمة خاصة بعد انتشار العديد من المواقع و تطبيقات الويب الخاصة بالشركات و الحكومات و الأفراد. ومع هذا الإنتشار الواسع أصبح من المهم الإهتمام بأمن هذه المواقع و ترقيع الثغرات الأمنية التي بها.

المقدمة

التزايد المستمر في إنشاء صفحات الويب يجعلها أكثر عرضه للقرصنة مما يؤدي إلي تسريب كم هائل من بيانات المستخدمين و التي يمكن أن تحتوي علي معلومات حساسة مثل:

إسم المستخدم و كلمات المرور.
أرقام البطاقات البنكية.
سجلات التحويل البنكي.
بطاقة التعريف الشخصي.
إلخ.

و تزداد خطورة البيانات إذا تعلقت بجهة حكومية أو مؤسسة عسكرية، إذ من الممكن إستخدام هذه البيانيات ضدد هذه الجهة.

السبب وراء حدوث الثغرات الأمنية

هناك عوامل كثيرة قد تؤدي إلي حدوث الثغرة ولكن السبب الأول و الأهم هو أخطاء المطورين لهذا الموقع، من الممكن أن يقع المطورين في أخطاء كثيرة عند العمل علي تطوير الموقع و التي قد تؤدي إلي ظهورالعديد من الثغرات في الموقع.

ومن الأخطاء التي يقع فيها المطور هو أن يثق في مدخلات المستخدم للتطبيق، علي سبيل المثال إذا كان هناك حقل إدخال بيانات يسمح بإدخال إسم المستخدم و لكن عندما عمل المطور علي هذه الجزئية من التطبيق لم يضع بالحسبان أنه من الممكن إدخال أي شيئ في هذا الحقل مما قد يشكل خطورة بالغة علي التطبيق.^[1]

أشهر الثغرات الأمنية

يوجد العديد من الثغرات الأمنية التي تستهدف المواقع، و كل ثغرة تختلف عن الأخري في:

كيفية العثور عليها.
نظام تسجيل نقاط الضعف المشترك (CVSS).
كيفية إستغلالها.
طريقة ترقيع الثغرة.

و من أمثلة هذة الثغرات و أشهرها ثغرة تسمي حقن النصوص البرمجية للغة الاستعلامات المهيكلة (SQL Injection)، تعد هذه الثغرة أحد أهم و أشهر الثغرات مما تسببة من خطورة عالية علي التطبيق، هذه الثغرة تستغل قواعد البيانات الخاصة بالتطيق حيث تجبر الموقع علي عرض جداول البينانات و التي من الممكن أن تحتوي علي معلومات حساسة حول المستخدمين.

هذا الجدول يوضح أشهر الثغرات من حيث نظام تسجيل نقاط الضعف المشترك^[2]
الأسم بالعربية (ترجمة حرفية)	الأسم بالإنجليزية	مؤشر الخطورة
تنفيذ التعليمات البرمجية عن بعد	Remote Code Execution (RCE)	9.0-10.0
حقن النصوص البرمجية للغة الاستعلامات المهيكلة	SQL Injection (SQLi)	7.5-9.8
البرمجة عابرة للمواقع	Cross-Site Scripting (XSS)	6.0-8.0
اتزوير طلب عبر الموقع	Cross-Site Request Forgery (CSRF)	6.5-9.3
تجاوز المصادقة	Authentication Bypass	8.0-9.8
عبور المجلد	Directory Traversal	7.0-9.0
إلغاء التسلسل الغير آمن	Insecure Deserialization	7.5-9.8

شعار منظمة اوساب

يوجد أيضا مشروع قائمة الثغرات الأشهر لمنظمة اوساب (OWASP Top 10)، و التي تحتوي علي أشهر 10 نقاط ضعف في المواقع.

برامج المكافئة المادية

الشعار المصغر لمنصة هاكروان

شعار منصة بج كراود

تعد برامج المكافئة المادية أحد أهم الطرق للتقليل من مخاطر تطبيقات الويب حيث تقوم الشركة أو المنظمة بإنشاء برنامج خاص بمواقعها و تطبيقاتها علي الإنترنت لكي يقوم مختبرين الإختراق عبر العالم بإختبار الموقع و إكتشاف الثغرات مقابل مبلغ مادي.

ويتم إنشاء هذا البرنامج علي أحد منصات برامج المكافئة المادية مثل:

هاكروان Hackerone.
بج كراود bugcrowd.

انظر أيضاً

المراجع

^ Wolf, Arctic (8 Feb 2023). "Why Vulnerabilities Remain Persistent". Arctic Wolf (بالإنجليزية الأمريكية). Retrieved 2024-10-05.
^ "CVSS Score Distribution Reports and Trends Over Time". www.cvedetails.com (بالإنجليزية). Retrieved 2024-10-05.

[1] Wolf, Arctic (8 Feb 2023). "Why Vulnerabilities Remain Persistent". Arctic Wolf (بالإنجليزية الأمريكية). Retrieved 2024-10-05.

[2] "CVSS Score Distribution Reports and Trends Over Time". www.cvedetails.com (بالإنجليزية). Retrieved 2024-10-05.

[1]

[2]