تخطي إلى المحتوى

حالة استخدام

عند التفاعل مع الأفراد والمنظمات الذين يقومون بتشغيل تطبيقات الويب يكون الوعي الذاتي ضروريًا للتحقق من طبيعة علاقة المدافع الرقمي وتقديم نصائح أو خدمات مفيدة وليست مثيرة للخوف، ومن الأهمية بمكان تأطير عملك الفني ضمن تقييم سليم للمخاطر لواقع تطبيق الويب ومستخدميه.

الأهداف

بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارسون قادرين على القيام بما يلي:

  • التفكير الذاتي في علاقة المدافع الرقمي مع العميل ضمن أعمال تقييم تطبيقات الويب وإعداد التقارير
  • تبسيط النتائج وتصفيتها وشرحها بطريقة منطقية لاحتياجات المنظمة ونماذج التهديد الخاصة بها وأصحاب المصلحة فيها
  • الحفاظ على الوعي بحدود معرفتك وقدرتك
  • التواصل بطريقة لا تتسبب بالتخويف حول الثغرات والضعف
  • إجراء تحليل أوسع للمخاطر لتطبيق ويب بناءً على الحقائق السياسية والاجتماعية والاقتصادية والتقنية المحيطة به.

العرض

يجب أن يظل عملك في تقييم أمان تطبيقات الويب في سياقه ضمن إطار المنظمة التي تدير التطبيق أو تستضيفه والأشخاص الذين يستخدمونه (وأجهزتهم)، والعلاقات الشخصية التي تربطك بهؤلاء الأشخاص، وطبيعة تطبيق الويب نفسه، والبيانات المخزنة أو المعالجة عليه، والحقائق القانونية التي تسود على التطبيق وتقييم قوي للمخاطر لجميع هذه العناصر. وسنحلل هذه العناصر ونفكر في النقد الذاتي لدورك بصفتك مدافعًا رقميًا.

دور المدافع الرقمي في تقييم أمان تطبيقات الويب

يُعد تقييم أمان تطبيقات الويب وخاصة العديد من عناصر هذا المسار ومسارات التعلّم ذات الصلة اللاحقة التي تتجاوز مسح الثغرات الأمنية الأساسية وتعداد الإصدارات وفحوصات التكوين الخاطئ مجموعة مهارات فنية ونادرة للغاية مع مصطلحات لا يمكن الوصول إليها ويصعب فهمها من قبل المستخدمين العاديين وحتى مسؤولي مواقع الويب البارعين في استخدام التكنولوجيا. اقض لحظة للتفكير في مستوى معرفتك ومشاعرك الشخصية حول إجراء هذا التقييم وما تأمل أن تخبر عميلك به، وإحدى القواعد الذهبية للعمل بصفة مدافع رقمي ذو كفاءة: ليس الهدف إثارة إعجاب الآخرين وجعل نفسك تبدو متفوقًا بل تقديم مساعدة فعالة تقلل من الضرر والمخاطر وتدعم أهداف مناصرة عميلك.

على هذا النحو من المهم تصفية وشرح النتائج التي توصلت إليها في سياق تحليل مخاطر تطبيق الويب نفسه، وفي حين أن العثور على العديد من الثغرات ونقاط الضعف قد يجعلك تشعر بالرضا كمحلل فإن مشاركة كل ذلك مع العميل قد يُنشئ الكثير من الضوضاء والضغوط المحتملة لعميلك. قد يكون تحقيق التوازن الصحيح أكثر صعوبة مما يبدو في البداية فليست كل النتائج الأمنية متساوية مع بعضها البعض، ويتطلب الأمر فهمًا لطبيعة الضعف وسلسلة الهجوم التي تجعله ذا مغزى واحتمال حدوث ضرر يمكن أن يحدثه استغلال ثغرة.

على سبيل المثال، عند استخدام أداة تقييم أمان آلية مثل زد أتاك بروكسي (ZAP) (مذكورة بمزيد من التفصيل في مسار تعلّم تقييم موقع الويب) وقد يكشف فحصك لموقع الويب عن العشرات أو حتى المئات من الثغرات ونقاط ضعف. يُعدّ تقديم هذه القائمة إلى عميلك أقل فائدة ما لم تتمكن من شرح سبب أهمية بعض هذه النتائج لأصحاب المصلحة وأهداف التشغيل والدعوة خاصتهم، فهل تفهم النتائج بما يكفي لتكون قادرًا على تقديم هذا التصفية والشرح؟ من الضروري أيضًا أن نُدرك قيود فهمنا الخاص في هذا المجال، وفي حالة عدم تمكنك بشكل صحيح من تقييم ما إذا كانت نقطة ضعف أو ثغرة معينة مهمة يمكنك ترك توصية مع أفضل تفسير ونصائح حول ما يجب مراعاته بتفصيل أكبر.

تقييم المخاطر باستخدام تطبيقات الويب

تُستخدم المنظمات تطبيقات الويب لأغراض مختلفة، وفي بعض الحالات سيكون ذلك لمعلومات مباشرة أو أغراض نشر العلامة التجارية ولها بيانات حساسة محدودة. حتى في هذه الحالات يمكن أن تُشكل المعلومات المسربة حول حركة المرور والزوار ومخاطر زرع محتوى ضار على الموقع ضررًا حقيقيًا للزوار أو سمعة المؤسسة.

في حالات أخرى قد تتم معالجة البيانات السرية والجوهرية للمهمة من خلال التطبيق، وأثناء استكمالك لمسارات التعلّم هذه التي تركز بشكل كبير على المهارات التقنية، تحقق باستمرار من نماذج التهديد التي تسود على التطبيق نفسه والمؤسسة والأشخاص الذين يشغلونه وأولئك الذين يستخدمونه بما في ذلك دراسة الأجهزة التي يستخدمونها للتفاعل معه.

الإبلاغ عن الثغرات والتحدث عنها

قد يكون الإبلاغ عن الثغرات الأمنية التي اكتشفتها أمرًا صعبًا خاصة إذا كنت جديدًا عليها، ولقد أنشأنا نظرة عامة موجزة على عملية إعداد التقارير في الموضوع الفرعي 5 من مسار تعلّم تقييم أمان تطبيقات الويب ونشجع جميع المتعلّمين الذين يحتاجون إلى كتابة تقارير للعملاء ليطلعوا عليها.

مقاطع فيديو من زملاء برنامج Infuse

شارك اثنان من زملاء برنامج إنفيوز, وهما( نانبان) و ( إل إف ) بإنتاج مقاطع فيديو توضح كيفية دعم الحماة الرقميين للآخرين بأسلوب احترافي ومتعاطف. ننصحكم بمشاهدتهما!

  • فيديو نانبان (Nanbaan):https://www.youtube.com/watch?v=oSR_EL-6qAQ (الصوت باللغة الإنجليزية، الترجمة باللغة الإنجليزية، مع إمكانية الترجمة التلقائية).

  • فيديو إل إف (LF):https://www.youtube.com/watch?v=SbALgt0oZIo (الصوت باللغة الإسبانية، الترجمة والشرائح باللغة الإسبانية، مع إمكانية الترجمة التلقائية).

  • فيديو إل إف (LF):https://www.youtube.com/watch?v=ouKS7s4GAPs (الصوت باللغة الإسبانية، الترجمة والشرائح باللغة الإنجليزية، مع إمكانية الترجمة التلقائية).

اختبار مهارة

سجّل الدخول إلى دي في دبليو إيه مرة أخرى وافتح إحدى صفحاته. اضبط خياراته لتكون بمستوى أمان منخفض أو متوسط، وتخيل أن هذه الصفحة تخص عميلك وتحتاج إلى اطلاعه على ثغرات وتأثيرها المحتمل والتخفيفات اللازمة، علمًا أنه يمكنك القيام بهذا التمرين إما:

  1. بنفسك من خلال كتابة مسودة بريد إلكتروني سترسلها إلى العميل، وإذا كان ذلك ممكنًا شارك هذه المسودة مع زميل أو مرشد في وقت لاحق ليتحقق من أنها استجابة مناسبة ومدروسة.
  2. مع نظير أو مرشد ومن خلال تمثيل أدوار في محادثة ستجريها مع العميل، واستخلص المعلومات بعد المحادثة واطلب من الأقران تقديم ملاحظات حول ما أحسنت القيام به وأين يمكنك تحسينه.