القائمة الرئيسية

الصفحات

ماالمقصود بأمان تطبيقات الويب؟تعرف عليها ؟




• ‏أمان تطبيقات الويب هو عملية حماية مواقع الويب والخدمات عبر الإنترنت من تهديدات الأمان المختلفة التي تستغل الثغرات الأمنية في التعليمات البرمجية للتطبيق.


‏ما هي الثغرات الأمنية الشائعة لتطبيق الويب؟


-XSS ثغرة أمنية تسمح للمهاجمين بحقن نصوص برمجية  في صفحة ويب من أجل الوصول إلى المعلومات المهمة مباشرةً أو انتحال شخصية المستخدم ، أو خداع المستخدم للكشف عن معلومات مهمة.


‏- SQl

  يتم استغلال نقاط الضعف  في قاعدة البيانات . يستخدمها  المهاجمون للوصول إلى معلومات غير مصرح بها ، أو تعديل أو إنشاء أذونات مستخدم جديدة ، أو التلاعب بالبيانات الحساسة أو إتلافها.


‏-Remote File Inclusion

هو نوع من أنواع الثغرات يتم استغلالها من قبل المهاجمين بي حقن ملف عن بعد في خادم تطبيق الويب يمكن أن يؤدي هذا إلى تنفيذ نصوص أو تعليمات برمجية ضارة داخل التطبيق ، بالإضافة إلى سرقة البيانات أو التلاعب بها.


‏-CSRF

 هجوم قد يؤدي إلى تحويل غير مرغوب فيه للأموال أو تغيير كلمات المرور أو سرقة البيانات. يحدث هذا عندما يقوم تطبيق ويب ضار بجعل متصفح المستخدم يقوم بعمل غير مرغوب فيه في موقع تم تسجيل دخول المستخدم إليه.


‏-DDoS

تحدث هذه الثغرة عندما يتم توجيه  بيانات والطلبات الكبيرة إلى الخادم، وهي بيانات وطلبات مزيفة، هدفها فقط إرهاق الخادم، عادةً ما تسمى بـ botnets. الـ botnets هي مجموعة من الأجهزة المتصلة بالانترنت هدفها إرسال هذه الطلبات .ومع المزيد من الضغط سيتعطل الخادم وسيصبح خارج الخدمة.


*‏من احدا الأدوات المستخدمة لفحص             المواقع واستخراج الثغرات هي أداة                

                             OWASP ZAP 

 أداة مسح  فحص نقاط الضعف الأمنية والثغرات في تطبيقات الويب والمواقع. تم إنشاؤه من قبل مشروع OWASP ، وهو عبارة عن ماسح مفتوح المصدر مبرمج بلغة Java.



* ‏طريقة فتح وتشغيل OWASP Zed Attack Proxy

للوصول إلى ZAP  نختار

Applications > Web Application Analysis > owasp-zap

أو اكتب الأمر التالي في سطر الأوامر Terminal:

owasp-zap

مجرد تحميل  سيتم نقلك إلى الشاشة الرئيسية. لبدء إجراء فحص ، أدخل عنوان URL أو عنوان IP الخاص بالنظام ..


‏بعد الزحف إلى الموقع ، يجري ZAP عددًا من الاختبارات المختلفة ضد الثغرات الأمنية الشائعة لتطبيقات الويب تتم الإشارة إلى ذلك تحت علامة التبويب التنبيهات Alerts في الركن السفلي الأيسر , وبعدها الانتقال الى مسارات موقع محدد لتحديد مكان وجود الثغرة .

تعليقات