ما هو أمن تطبيقات الويب؟ what is web application security أمن تطبيقات الويب Mahmoud Ezz ما هو أمن تطبيقات الويب؟ what-is-web-application-security ستجد فى هذا المقال Toggleما هو أمن تطبيقات الويب؟what is web application securityما هي مخاطر أمان تطبيقات الويب الشائعة؟أيضا:ما هي استراتيجيات أمان تطبيقات الويب المهمة؟ما هي أفضل ممارسات أمان التطبيقات التي يجب أن تتوقعها المؤسسات من مورديها؟والى هنا ياصديقى نكون قد أتممنا المهمة بنجاح وتجد مايهمك على #متجرناوللإشتراك فى نشرتنا الإخبارية على اخبار جوجل اضغط هنا👇👇 او قم بمسح الكودقد يهمك أيضا : HTTPS؟ خرق البيانات؟ما هو NFT؟ شرح الرموز غير القابلة للاستبدالأفضل 10 عملات مشفرة لعام 2023 عليك ان تركز عليها ما هو أمن تطبيقات الويب؟what is web application security أمان تطبيقات الويب مهم لأي عمل تجاري. تعرف على الثغرات الأمنية الشائعة في تطبيقات الويب وكيف يمكن التخفيف منها. أمان تطبيقات الويب هو ممارسة لحماية مواقع الويب والتطبيقات وواجهات برمجة التطبيقات من الهجمات. إنه مجال واسع ، لكن أهدافه النهائية هي الحفاظ على عمل تطبيقات الويب بسلاسة وحماية الأعمال التجارية من التخريب الإلكتروني وسرقة البيانات والمنافسة غير الأخلاقية والعواقب السلبية الأخرى.تعرض الطبيعة العالمية للإنترنت تطبيقات الويب وواجهات برمجة التطبيقات للهجمات من العديد من المواقع ومستويات مختلفة من الحجم والتعقيد. على هذا النحو ، يشمل أمان تطبيقات الويب مجموعة متنوعة من الاستراتيجيات ويغطي العديد من أجزاء سلسلة توريد البرامج. ما هي مخاطر أمان تطبيقات الويب الشائعة؟ قد تواجه تطبيقات الويب عددًا من أنواع الهجمات اعتمادًا على أهداف المهاجم وطبيعة عمل المؤسسة المستهدفة والثغرات الأمنية الخاصة بالتطبيق. تشمل أنواع الهجمات الشائعة ما يلي: ثغرات اليوم الصفري: هي ثغرات غير معروفة لصانعي التطبيق ، وبالتالي لا يتوفر إصلاح لها. نرى الآن أكثر من 20000 كل عام. تتطلع الهجمات إلى استغلال هذه الثغرات الأمنية بسرعة ، وغالبًا ما تتابعها بالسعي للتهرب من الحماية التي يضعها بائعو الأمن. البرمجة النصية عبر المواقع (XSS): XSS هي ثغرة أمنية تسمح للمهاجمين بحقن نصوص برمجية من جانب العميل في صفحة ويب من أجل الوصول إلى المعلومات المهمة مباشرةً ، أو انتحال شخصية المستخدم ، أو خداع المستخدم للكشف عن معلومات مهمة. حقن SQL (SQi): SQi هي طريقة يستخدمها المهاجم لاستغلال الثغرات الأمنية في الطريقة التي تنفذ بها قاعدة البيانات استعلامات البحث. يستخدم المهاجمون SQi للوصول إلى معلومات غير مصرح بها ، أو تعديل أو إنشاء أذونات مستخدم جديدة ، أو التلاعب بالبيانات الحساسة أو إتلافها. هجمات رفض الخدمة (DoS) وهجمات رفض الخدمة الموزعة (DDoS): من خلال مجموعة متنوعة من المتجهات ، يستطيع المهاجمون زيادة التحميل على خادم مستهدف أو البنية التحتية المحيطة به بأنواع مختلفة من حركة مرور الهجوم. عندما يتعذر على الخادم معالجة الطلبات الواردة بشكل فعال ، يبدأ في التصرف ببطء وفي النهاية يرفض الخدمة للطلبات الواردة من المستخدمين الشرعيين. تلف الذاكرة: يحدث تلف الذاكرة عندما يتم تعديل موقع في الذاكرة عن غير قصد ، مما يؤدي إلى احتمال حدوث سلوك غير متوقع في البرنامج. سيحاول الفاعلون السيئون اكتشاف واستغلال تلف الذاكرة من خلال عمليات الاستغلال مثل حقن التعليمات البرمجية أو هجمات تجاوز سعة المخزن المؤقت. تجاوز سعة المخزن المؤقت: تجاوز سعة المخزن المؤقت هو حالة شاذة تحدث عند كتابة البرنامج للبيانات إلى مساحة محددة في الذاكرة تُعرف باسم المخزن المؤقت. يؤدي تجاوز سعة المخزن المؤقت إلى الكتابة فوق مواقع الذاكرة المجاورة بالبيانات. يمكن استغلال هذا السلوك لإدخال تعليمات برمجية ضارة في الذاكرة ، مما قد يؤدي إلى حدوث ثغرة أمنية في الجهاز المستهدف. تزوير طلب عبر الموقع (CSRF): يتضمن طلب التزوير عبر الموقع خداع الضحية لتقديم طلب يستخدم مصادقته أو تفويضه. من خلال الاستفادة من امتيازات حساب المستخدم ، يكون المهاجم قادرًا على إرسال طلب متنكراً في هيئة المستخدم. بمجرد اختراق حساب المستخدم ، يمكن للمهاجم اختراق المعلومات المهمة أو إتلافها أو تعديلها. يتم استهداف الحسابات ذات الامتيازات العالية مثل المسؤولين أو المديرين التنفيذيين بشكل شائع. حشو بيانات الاعتماد: قد يستخدم المهاجمون برامج الروبوت للإدخال السريع لأعداد كبيرة من مجموعات أسماء المستخدمين وكلمات المرور المسروقة في بوابة تسجيل الدخول لتطبيق الويب. إذا سمحت هذه الممارسة للمهاجم بالوصول إلى حساب مستخدم حقيقي ، فقد يسرق بيانات المستخدم أو يقوم بعمليات شراء احتيالية باسم المستخدم. تجريف الصفحة: قد يستخدم المهاجمون أيضًا برامج الروبوت لسرقة المحتوى من صفحات الويب على نطاق واسع. قد يستخدمون هذا المحتوى لاكتساب ميزة تسعير على أحد المنافسين ، أو تقليد مالك الصفحة لأغراض ضارة ، أو لأسباب أخرى. إساءة استخدام واجهة برمجة التطبيقات (API): واجهات برمجة التطبيقات ، أو واجهات برمجة التطبيقات ، هي برامج تسمح لتطبيقين بالتواصل مع بعضهما البعض. مثل أي نوع من البرامج ، قد يكون لديهم ثغرات أمنية تسمح للمهاجمين بإرسال تعليمات برمجية ضارة إلى أحد التطبيقات أو اعتراض البيانات الحساسة أثناء انتقالها من تطبيق إلى آخر. هذا هو نوع هجوم شائع بشكل متزايد مع زيادة استخدام API. قائمة OWASP API العشرة الأوائل تلخص بإيجاز مخاطر أمان واجهة برمجة التطبيقات الرئيسية التي تواجهها المؤسسات اليوم. Shadow APIs: تعمل فرق التطوير بسرعة لتحقيق أهداف العمل ، وتقوم بشكل متكرر ببناء ونشر واجهات برمجة التطبيقات دون إبلاغ فرق الأمان. قد تكشف واجهات برمجة التطبيقات غير المعروفة هذه بيانات الشركة الحساسة ، والتي تعمل في “الظل” لأن فرق الأمن المكلفة بحماية واجهات برمجة التطبيقات غير مدركة لوجودها. إساءة استخدام رمز الطرف الثالث: تستخدم العديد من تطبيقات الويب الحديثة مجموعة متنوعة من أدوات الجهات الخارجية – على سبيل المثال ، موقع التجارة الإلكترونية الذي يستخدم أداة معالجة مدفوعات تابعة لجهة خارجية. إذا وجد المهاجمون ثغرة أمنية في إحدى هذه الأدوات ، فقد يتمكنون من اختراق الأداة وسرقة البيانات التي تعالجها أو منعها من العمل أو استخدامها لإدخال تعليمات برمجية ضارة في مكان آخر من التطبيق. تعد هجمات Magecart ، التي تستخرج بيانات بطاقة الائتمان من معالجات الدفع ، مثالاً على هذا النوع من الهجوم. تعتبر هذه الهجمات أيضًا من هجمات سلسلة التوريد للمتصفح. التكوينات الخاطئة لسطح الهجوم: سطح هجوم المؤسسة هو بصمة تكنولوجيا المعلومات الكاملة التي يمكن أن تكون عرضة للهجمات الإلكترونية: الخوادم والأجهزة و SaaS والأصول السحابية التي يمكن الوصول إليها من الإنترنت. يمكن أن يظل سطح الهجوم هذا عرضة للهجوم بسبب التغاضي عن عناصر معينة أو تكوينها بشكل خاطئ. أيضا: ما هي استراتيجيات أمان تطبيقات الويب المهمة؟ كما ذكرنا سابقًا ، يعد أمان تطبيقات الويب مجالًا واسعًا ومتغيرًا دائمًا. على هذا النحو ، تتغير أفضل ممارسات الانضباط مع ظهور هجمات ونقاط ضعف جديدة. لكن المشهد الحديث لتهديدات الإنترنت نشط بدرجة كافية بحيث لا تتمكن أي منظمة من تدبير أمورها دون خدمات أمنية معينة “تراخيص الجدول” التي تتناسب مع الاحتياجات المحددة لأعمالها: التخفيف من هجمات DDoS : تقع خدمات تخفيف DDoS بين الخادم والإنترنت العامة ، وذلك باستخدام ترشيح متخصص وقدرة عالية للغاية لعرض النطاق الترددي لمنع اندفاعات حركة المرور الضارة من إغراق الخادم. هذه الخدمات مهمة لأن العديد من هجمات DDoS الحديثة تقدم حركة مرور ضارة كافية لتطغى حتى على الخوادم الأكثر مرونة. جدار حماية تطبيقات الويب (WAF): يقوم بتصفية حركة المرور المعروفة أو المشتبه في أنها تستفيد من نقاط ضعف تطبيقات الويب. تعد WAFs مهمة لأن نقاط الضعف الجديدة تظهر بسرعة وبهدوء شديد بحيث لا يمكن لجميع المؤسسات تقريبًا اكتشافها بمفردها. بوابات API: والتي تساعد في تحديد “واجهات برمجة تطبيقات الظل” التي تم التغاضي عنها ، وحظر حركة المرور المعروفة أو المشتبه في استهدافها لنقاط ضعف واجهة برمجة التطبيقات. كما أنها تساعد في إدارة ومراقبة حركة مرور API. ( تعرف على المزيد حول أمان واجهة برمجة التطبيقات .) DNSSEC: بروتوكول يضمن توجيه حركة مرور DNS الخاصة بتطبيق الويب بأمان إلى الخوادم الصحيحة ، بحيث لا يتم اعتراض المستخدمين من قبل مهاجم على المسار. إدارة شهادة التشفير : حيث يدير طرف ثالث العناصر الأساسية لعملية تشفير SSL / TLS ، مثل إنشاء مفاتيح خاصة ، وتجديد الشهادات ، وإلغاء الشهادات بسبب نقاط الضعف. هذا يزيل خطر التغاضي عن تلك العناصر وفضح حركة المرور الخاصة. إدارة الروبوت : والتي تستخدم التعلم الآلي وطرق الكشف المتخصصة الأخرى لتمييز حركة المرور الآلية عن المستخدمين البشريين ، ومنع الأول من الوصول إلى تطبيق ويب. الأمان من جانب العميل: الذي يتحقق من تبعيات JavaScript لجهات خارجية جديدة وتغييرات التعليمات البرمجية لجهة خارجية ، مما يساعد المؤسسات على اكتشاف الأنشطة الضارة في وقت أقرب. إدارة سطح الهجوم: يجب أن توفر أدوات إدارة سطح الهجوم القابلة للتنفيذ مكانًا واحدًا لرسم خريطة لسطح الهجوم وتحديد مخاطر الأمان المحتملة وتخفيف المخاطر ببضع نقرات. ما هي أفضل ممارسات أمان التطبيقات التي يجب أن تتوقعها المؤسسات من مورديها؟ يمكن لمطوري الويب تصميم وبناء التطبيقات بطرق تمنع المهاجمين من الوصول إلى البيانات الخاصة ، والوصول عن طريق الاحتيال إلى حسابات المستخدمين ، وتنفيذ الإجراءات الضارة الأخرى. قائمة OWASP العشرة الأولى تلتقط أكثر مخاطر أمان التطبيقات شيوعًا التي يجب على مطوري البرامج أن يكونوا على دراية بها. تشمل ممارسات منع هذه المخاطر ما يلي: طلب التحقق من صحة الإدخال: يساعد حظر البيانات المنسقة بشكل غير صحيح من المرور عبر مهام سير عمل التطبيق على منع التعليمات البرمجية الضارة من الدخول إلى التطبيق عن طريق هجوم الحقن. استخدام تشفير حديث: يساعد تخزين بيانات المستخدم بطريقة مشفرة ، جنبًا إلى جنب مع استخدام HTTPS لتشفير نقل حركة المرور الواردة والصادرة ، على منع المهاجمين من سرقة البيانات. تقديم مصادقة وتفويض قويين : بناء وفرض ضوابط لكلمات مرور قوية ، وتقديم خيارات مصادقة متعددة العوامل بما في ذلك المفاتيح الصلبة ، وتقديم خيارات التحكم في الوصول ، وغيرها من الممارسات تجعل من الصعب على المهاجمين الوصول إلى حسابات المستخدمين عن طريق الاحتيال والتحرك بشكل جانبي داخل التطبيق الخاص بك. تتبع واجهات برمجة التطبيقات: توجد أدوات لتحديد “واجهات برمجة تطبيقات الظل” التي تم التغاضي عنها والتي يمكن أن تشكل سطح هجوم ، ولكن يصبح أمان واجهة برمجة التطبيقات أسهل عندما لا يتم التغاضي عن واجهات برمجة التطبيقات في المقام الأول. توثيق تغييرات الكود: مما يساعد فرق الأمن والمطورين على إصلاح الثغرات الأمنية التي تم إدخالها حديثًا في وقت أقرب. والى هنا ياصديقى نكون قد أتممنا المهمة بنجاح مع تحيات فريق #Ezznology وتجد مايهمك على #متجرنا وللإشتراك فى نشرتنا الإخبارية على اخبار جوجل اضغط هنا👇👇 او قم بمسح الكود Ezznology on Google news قد يهمك أيضا : HTTPS؟ خرق البيانات؟ ما هو NFT؟ شرح الرموز غير القابلة للاستبدال أفضل 10 عملات مشفرة لعام 2023 عليك ان تركز عليها تقييم المستخدمون: 5 ( 1 أصوات) مقالات ذات صلة اشياء احذر ان تفعلها على تطبيق واتساب للحفاظ على الأمان والخصوصية Quishing قد يكون الأخطر على الإطلاق لؤلائك الذين يفضلون مسح رموز الQR خطوة خطوة وبكل بساطة طريقة التقديم على الإسكان الإجتماعى لمحدودى الدخل
Ezznology on Google news
