• أمان تطبيقات الويب هو عملية حماية مواقع الويب والخدمات عبر الإنترنت من تهديدات الأمان المختلفة التي تستغل الثغرات الأمنية في التعليمات البرمجية للتطبيق.
ما هي الثغرات الأمنية الشائعة لتطبيق الويب؟
-XSS ثغرة أمنية تسمح للمهاجمين بحقن نصوص برمجية في صفحة ويب من أجل الوصول إلى المعلومات المهمة مباشرةً أو انتحال شخصية المستخدم ، أو خداع المستخدم للكشف عن معلومات مهمة.
- SQl
يتم استغلال نقاط الضعف في قاعدة البيانات . يستخدمها المهاجمون للوصول إلى معلومات غير مصرح بها ، أو تعديل أو إنشاء أذونات مستخدم جديدة ، أو التلاعب بالبيانات الحساسة أو إتلافها.
-Remote File Inclusion
هو نوع من أنواع الثغرات يتم استغلالها من قبل المهاجمين بي حقن ملف عن بعد في خادم تطبيق الويب يمكن أن يؤدي هذا إلى تنفيذ نصوص أو تعليمات برمجية ضارة داخل التطبيق ، بالإضافة إلى سرقة البيانات أو التلاعب بها.
-CSRF
هجوم قد يؤدي إلى تحويل غير مرغوب فيه للأموال أو تغيير كلمات المرور أو سرقة البيانات. يحدث هذا عندما يقوم تطبيق ويب ضار بجعل متصفح المستخدم يقوم بعمل غير مرغوب فيه في موقع تم تسجيل دخول المستخدم إليه.
-DDoS
تحدث هذه الثغرة عندما يتم توجيه بيانات والطلبات الكبيرة إلى الخادم، وهي بيانات وطلبات مزيفة، هدفها فقط إرهاق الخادم، عادةً ما تسمى بـ botnets. الـ botnets هي مجموعة من الأجهزة المتصلة بالانترنت هدفها إرسال هذه الطلبات .ومع المزيد من الضغط سيتعطل الخادم وسيصبح خارج الخدمة.
*من احدا الأدوات المستخدمة لفحص المواقع واستخراج الثغرات هي أداة
OWASP ZAP
أداة مسح فحص نقاط الضعف الأمنية والثغرات في تطبيقات الويب والمواقع. تم إنشاؤه من قبل مشروع OWASP ، وهو عبارة عن ماسح مفتوح المصدر مبرمج بلغة Java.
* طريقة فتح وتشغيل OWASP Zed Attack Proxy
للوصول إلى ZAP نختار
Applications > Web Application Analysis > owasp-zap
أو اكتب الأمر التالي في سطر الأوامر Terminal:
owasp-zap
مجرد تحميل سيتم نقلك إلى الشاشة الرئيسية. لبدء إجراء فحص ، أدخل عنوان URL أو عنوان IP الخاص بالنظام ..
بعد الزحف إلى الموقع ، يجري ZAP عددًا من الاختبارات المختلفة ضد الثغرات الأمنية الشائعة لتطبيقات الويب تتم الإشارة إلى ذلك تحت علامة التبويب التنبيهات Alerts في الركن السفلي الأيسر , وبعدها الانتقال الى مسارات موقع محدد لتحديد مكان وجود الثغرة .
تعليقات
إرسال تعليق