أمن تطبيقات الويب

أمن تطبيقات الويب (بالإنجليزية: Web Application Security) من المجالات المهمة خاصة بعد انتشار العديد من المواقع وتطبيقات الويب الخاصة بالشركات والحكومات والأفراد. ومع هذا الانتشار الواسع أصبح من المهم الإهتمام بأمن هذه المواقع وترقيع الثغرات الأمنية التي بها.

المقدمة

التزايد المستمر في إنشاء صفحات الويب يجعلها عرضة للقرصنة وتسريب بيانات المستخدمين والتي يمكن أن تحتوي علي معلومات حساسة مثل:

اسم المستخدم وكلمات المرور.
أرقام البطاقات البنكية.
سجلات التحويل البنكي.
بطاقة التعريف الشخصي.
إلخ.

وتزداد خطورة البيانات إذا تعلقت بجهة حكومية أو مؤسسة عسكرية، إذ من الممكن إستخدام هذه البيانيات ضدد هذه الجهة.

السبب وراء حدوث الثغرات الأمنية

هناك عوامل كثيرة قد تؤدي إلي حدوث الثغرة ولكن السبب الأول والأهم هو أخطاء المطورين لهذا الموقع، من الممكن أن يقع المطورين في أخطاء كثيرة عند العمل علي تطوير الموقع والتي قد تؤدي إلي ظهورالعديد من الثغرات في الموقع.

ومن الأخطاء التي يقع فيها المطور هو أن يثق في مدخلات المستخدم للتطبيق، علي سبيل المثال إذا كان هناك حقل إدخال بيانات يسمح بإدخال إسم المستخدم ولكن عندما عمل المطور علي هذه الجزئية من التطبيق لم يضع بالحسبان أنه من الممكن إدخال أي شيئ في هذا الحقل مما قد يشكل خطورة بالغة علي التطبيق.^[1]

أشهر الثغرات الأمنية

يوجد العديد من الثغرات الأمنية التي تستهدف المواقع، وكل ثغرة تختلف عن الأخري في:

كيفية العثور عليها.
نظام تسجيل نقاط الضعف المشترك (CVSS).
كيفية إستغلالها.
طريقة ترقيع الثغرة.

و من أمثلة هذة الثغرات وأشهرها ثغرة تسمي حقن النصوص البرمجية للغة الاستعلامات المهيكلة (SQL Injection)، تعد هذه الثغرة أحد أهم وأشهر الثغرات مما تسببة من خطورة عالية علي التطبيق، هذه الثغرة تستغل قواعد البيانات الخاصة بالتطيق حيث تجبر الموقع علي عرض جداول البينانات والتي من الممكن أن تحتوي علي معلومات حساسة حول المستخدمين.

هذا الجدول يوضح أشهر الثغرات من حيث نظام تسجيل نقاط الضعف المشترك^[2]
الأسم بالعربية (ترجمة حرفية)	الأسم بالإنجليزية	مؤشر الخطورة
تنفيذ التعليمات البرمجية عن بعد	Remote Code Execution (RCE)	9.0-10.0
حقن النصوص البرمجية للغة الاستعلامات المهيكلة	SQL Injection (SQLi)	7.5-9.8
البرمجة عابرة للمواقع	Cross-Site Scripting (XSS)	6.0-8.0
تزوير طلب عبر الموقع	Cross-Site Request Forgery (CSRF)	6.5-9.3
تجاوز المصادقة	Authentication Bypass	8.0-9.8
عبور المجلد	Directory Traversal	7.0-9.0
إلغاء التسلسل الغير الآمن	Insecure Deserialization	7.5-9.8

يوجد أيضا مشروع قائمة الثغرات الأشهر لمنظمة اوساب (OWASP Top 10)، والتي تحتوي علي أشهر 10 نقاط ضعف في المواقع.

برامج المكافئة المادية

شعار منصة بج كراود

تعد برامج المكافئة المادية أحد أهم الطرق للتقليل من مخاطر تطبيقات الويب حيث تقوم الشركة أو المنظمة بإنشاء برنامج خاص بمواقعها وتطبيقاتها علي الإنترنت لكي يقوم مختبرين الإختراق عبر العالم بإختبار الموقع وإكتشاف الثغرات مقابل مبلغ مادي.

ويتم إنشاء هذا البرنامج علي أحد منصات برامج المكافئة المادية مثل:

هاكروان Hackerone.
بج كراود bugcrowd.

انظر أيضاً

المراجع

^ Wolf, Arctic (8 Feb 2023). "Why Vulnerabilities Remain Persistent". Arctic Wolf (بالإنجليزية الأمريكية). Archived from the original on 2024-05-23. Retrieved 2024-10-05.
^ "CVSS Score Distribution Reports and Trends Over Time". www.cvedetails.com (بالإنجليزية). Archived from the original on 2024-09-24. Retrieved 2024-10-05.

[1] Wolf, Arctic (8 Feb 2023). "Why Vulnerabilities Remain Persistent". Arctic Wolf (بالإنجليزية الأمريكية). Archived from the original on 2024-05-23. Retrieved 2024-10-05.

[2] "CVSS Score Distribution Reports and Trends Over Time". www.cvedetails.com (بالإنجليزية). Archived from the original on 2024-09-24. Retrieved 2024-10-05.

[1]

[2]