❗️ أهم مفاهيم الأمان لمطوري الويب❗️
اليك بعض من الامور التي عليك الحذر منها عند برمجة المواقع:
١- ثغرة يوم الصفر
٢- الحزم ذات الثغرات الأمنية المعروفة
٣- البرمجة النصية عبر المواقع (XSS)
٤- حقن SQL
٥- تسريبات الاعتماد
اليك بعض من الامور التي عليك الحذر منها عند برمجة المواقع:
١- ثغرة يوم الصفر
٢- الحزم ذات الثغرات الأمنية المعروفة
٣- البرمجة النصية عبر المواقع (XSS)
٤- حقن SQL
٥- تسريبات الاعتماد
١- ثغرة يوم الصفر:
ثغرة يوم الصفر هي ثغرة غير معروفة أو غير مثبتة اعتبارًا من اليوم
عندما يقرر أحد المتطفلين مهاجمة هذه الثغرة الأمنية، يطلق عليه اسم ثغرة يوم الصفر
بعد أن يصبح معروفًا، يمكنك التفكير فيه على أنه استغلال ليوم واحد أو 20 يومًا بناءً على الوقت منذ الاكتشاف الأولي
ثغرة يوم الصفر هي ثغرة غير معروفة أو غير مثبتة اعتبارًا من اليوم
عندما يقرر أحد المتطفلين مهاجمة هذه الثغرة الأمنية، يطلق عليه اسم ثغرة يوم الصفر
بعد أن يصبح معروفًا، يمكنك التفكير فيه على أنه استغلال ليوم واحد أو 20 يومًا بناءً على الوقت منذ الاكتشاف الأولي
٢- الحزم ذات الثغرات الأمنية المعروفة:
يعد استخدام الحزم ذات الثغرات الأمنية المعروفة الطريقة الأكثر شيوعًا للقراصنة لاستغلال تطبيقات الويب
راجع مشروع NPM الحالي الخاص بك باستخدام أمر التدقيق audit
ثم قم بتحديث التبعيات الخاصة بك حسب الحاجة
يعد استخدام الحزم ذات الثغرات الأمنية المعروفة الطريقة الأكثر شيوعًا للقراصنة لاستغلال تطبيقات الويب
راجع مشروع NPM الحالي الخاص بك باستخدام أمر التدقيق audit
ثم قم بتحديث التبعيات الخاصة بك حسب الحاجة
٣- البرمجة النصية عبر المواقع (XSS):
تحدث البرمجة النصية عبر المواقع عندما يقوم أحد المتطفلين بتشغيل JavaScript ضار على مستعرض العميل
يمكن أن يحدث ذلك بعدة طرق، ولكنه عادة ما يكون نتيجة تقديم مدخلات HTML خام من الخادم بلا معاينة
تحدث البرمجة النصية عبر المواقع عندما يقوم أحد المتطفلين بتشغيل JavaScript ضار على مستعرض العميل
يمكن أن يحدث ذلك بعدة طرق، ولكنه عادة ما يكون نتيجة تقديم مدخلات HTML خام من الخادم بلا معاينة
٤- حقن SQL:
يعد حقن SQL من الناحية المفاهيمية مشابهًا لـ XSS، ولكنه بدلاً من ذلك يقوم بتشغيل تعليمات برمجية ضارة في قاعدة البيانات
يعد حقن SQL من الناحية المفاهيمية مشابهًا لـ XSS، ولكنه بدلاً من ذلك يقوم بتشغيل تعليمات برمجية ضارة في قاعدة البيانات
٥- تسريبات الاعتماد:
توفر العديد من واجهات برمجة التطبيقات وموفري الخدمات السحابية مفاتيح API التي تسمح لك بالتفاعل مع الخدمات المدفوعة
إذا اكتشف أحد المتطفلين مفتاحًا سريًا لواجهة برمجة التطبيقات، فيمكن استخدامه لاتخاذ إجراءات مدمرة نيابةً عنك
توفر العديد من واجهات برمجة التطبيقات وموفري الخدمات السحابية مفاتيح API التي تسمح لك بالتفاعل مع الخدمات المدفوعة
إذا اكتشف أحد المتطفلين مفتاحًا سريًا لواجهة برمجة التطبيقات، فيمكن استخدامه لاتخاذ إجراءات مدمرة نيابةً عنك
هناك عدة طرق يتم بها تسريب بيانات الاعتماد:
- استخدام مفاتيح API مباشرة في الكود المصدري، ثم دفع الrepo إلى Github
- استخدم مفاتيح API مباشرة في الكود المصدري، ثم قم بتجميعها في تطبيق الإنتاج الخاص بك
- استخدام مفاتيح API مباشرة في الكود المصدري، ثم دفع الrepo إلى Github
- استخدم مفاتيح API مباشرة في الكود المصدري، ثم قم بتجميعها في تطبيق الإنتاج الخاص بك
يمكنك منع تسرب بيانات الاعتماد عن طريق عدم وضع شفرة المصدر الخاصة بك
بدلاً من ذلك ، استخدم متغيرات البيئة أو خدمة مثل Secret Manager
بدلاً من ذلك ، استخدم متغيرات البيئة أو خدمة مثل Secret Manager
هل واجهتك احد هذه المشاكل من قبل؟
جاري تحميل الاقتراحات...