❗️ أخطر نقاط الضعف في تطبيقات الويب❗️
ثغرة موقع الويب عبارة عن عيب أو خطأ في كود البرنامج أو خطأ في تكوين النظام أو بعض نقاط الضعف الأخرى في موقع الويب
اليك خمسة ثغرات عليك الحذر منها عند انشاء مشاريع متعلقة ببرمجة الويب الخلفية backend👇
ثغرة موقع الويب عبارة عن عيب أو خطأ في كود البرنامج أو خطأ في تكوين النظام أو بعض نقاط الضعف الأخرى في موقع الويب
اليك خمسة ثغرات عليك الحذر منها عند انشاء مشاريع متعلقة ببرمجة الويب الخلفية backend👇
1⃣ حقن SQL
2⃣ البرمجة النصية عبر المواقع (XSS)
3⃣ Session Fixation
4⃣ Information Leakage
5⃣ تضمين الملفات عن بعد (RFI)
6⃣ المصادقة المكسورة وإدارة الجلسة
2⃣ البرمجة النصية عبر المواقع (XSS)
3⃣ Session Fixation
4⃣ Information Leakage
5⃣ تضمين الملفات عن بعد (RFI)
6⃣ المصادقة المكسورة وإدارة الجلسة
1⃣ حقن SQL:
إنه هجوم شائع يستخدم تعليمات برمجية خبيثة SQL للتعامل مع قاعدة البيانات الخلفية للوصول إلى المعلومات التي لم يكن من المفترض عرضها
تتضمن بعض أمثلة حقن SQL الشائعة ما يلي:
استرداد البيانات المخفية، حيث يمكنك تعديل استعلام SQL لإرجاع نتائج إضافية
إنه هجوم شائع يستخدم تعليمات برمجية خبيثة SQL للتعامل مع قاعدة البيانات الخلفية للوصول إلى المعلومات التي لم يكن من المفترض عرضها
تتضمن بعض أمثلة حقن SQL الشائعة ما يلي:
استرداد البيانات المخفية، حيث يمكنك تعديل استعلام SQL لإرجاع نتائج إضافية
2⃣ البرمجة النصية عبر المواقع (XSS):
هي هجوم إدخال كود يسمح للمهاجم بتنفيذ JavaScript ضار في متصفح مستخدم آخر
تتضمن أمثلة هجمات البرمجة النصية المنعكسة عبر المواقع عندما يقوم المهاجم بتخزين البرامج النصية الضارة في البيانات المرسلة من نموذج البحث أو الاتصال بموقع الويب
هي هجوم إدخال كود يسمح للمهاجم بتنفيذ JavaScript ضار في متصفح مستخدم آخر
تتضمن أمثلة هجمات البرمجة النصية المنعكسة عبر المواقع عندما يقوم المهاجم بتخزين البرامج النصية الضارة في البيانات المرسلة من نموذج البحث أو الاتصال بموقع الويب
3⃣ Session Fixation:
تثبيت الجلسة هو هجوم يسمح للمهاجم باختطاف جلسة مستخدم صالحة
يستكشف الهجوم قيودا في الطريقة التي يدير بها تطبيق الويب معرف الجلسة، وبشكل أكثر تحديدا تطبيق الويب الضعيف
تثبيت الجلسة هو هجوم يسمح للمهاجم باختطاف جلسة مستخدم صالحة
يستكشف الهجوم قيودا في الطريقة التي يدير بها تطبيق الويب معرف الجلسة، وبشكل أكثر تحديدا تطبيق الويب الضعيف
4⃣ Information Leakage:
تسرب المعلومات هو حدث يحدث عندما يتم الكشف عن معلومات سرية لأشخاص أو أطراف غير مصرح لها
على سبيل المثال، قد يختار الموظف عن غير قصد المستلم الخطأ عند إرسال بريد إلكتروني يحتوي على بيانات سرية
تسرب المعلومات هو حدث يحدث عندما يتم الكشف عن معلومات سرية لأشخاص أو أطراف غير مصرح لها
على سبيل المثال، قد يختار الموظف عن غير قصد المستلم الخطأ عند إرسال بريد إلكتروني يحتوي على بيانات سرية
5⃣ تضمين الملفات عن بعد (RFI):
هو أسلوب هجوم يستخدم لاستغلال آليات "تضمين الملف الديناميكي" في تطبيقات الويب
وهو هجوم يستهدف نقاط الضعف في تطبيقات الويب التي تشير ديناميكيا إلى البرامج النصية الخارجية
هو أسلوب هجوم يستخدم لاستغلال آليات "تضمين الملف الديناميكي" في تطبيقات الويب
وهو هجوم يستهدف نقاط الضعف في تطبيقات الويب التي تشير ديناميكيا إلى البرامج النصية الخارجية
6⃣ المصادقة المكسورة وإدارة الجلسة:
هذه ثغرات في تطبيق الويب تسمح للمهاجمين بالتقاط أو تجاوز طرق المصادقة التي يستخدمها موقع الويب
وذلك من خلال تجاوز المصادقة ومعرفات الجلسة، يمكن للمهاجمين الانخراط في انتحال الهوية وسرقة الهوية والبيانات والاستيلاء على الحساب وما إلى ذلك
هذه ثغرات في تطبيق الويب تسمح للمهاجمين بالتقاط أو تجاوز طرق المصادقة التي يستخدمها موقع الويب
وذلك من خلال تجاوز المصادقة ومعرفات الجلسة، يمكن للمهاجمين الانخراط في انتحال الهوية وسرقة الهوية والبيانات والاستيلاء على الحساب وما إلى ذلك
أمثلة :
- كلمة مرور ضعيفة
- بيانات اعتماد تسجيل الدخول التي يمكن التنبؤ بها
- التعرض معرف الجلسة في URL
- قيم الجلسة لا تنتهي مهلتها
- لا يتم إرسال و / أو تخزين كلمات المرور ومعرفات الجلسة وبيانات الاعتماد بشكل آمن
- كلمة مرور ضعيفة
- بيانات اعتماد تسجيل الدخول التي يمكن التنبؤ بها
- التعرض معرف الجلسة في URL
- قيم الجلسة لا تنتهي مهلتها
- لا يتم إرسال و / أو تخزين كلمات المرور ومعرفات الجلسة وبيانات الاعتماد بشكل آمن
هل واجهتك احد من هذه المخاطر من قبل؟ لا تنس اعادة التغريد حتى يستفيد الجميع🙏
جاري تحميل الاقتراحات...