مقدمة
آخر تحديث في: 26 ديسمبر 2024
GitHub تعديل هذه الصفحة علىنظرة عامة
تطبيقات الويب هي بنية تحتية حيوية تستخدمها المنظمات الإعلامية والمجتمع المدني لنشر التدفق الحر للمعلومات وكذلك لتوفير وظائف لأصحاب المصلحة فيها. يهاجم المتطفلون تطبيقات الويب هذه لأغراض مختلفة تشمل إيقاف تدفق المعلومات الحر وإلحاق الضرر بالسمعة والتسلل إلى الأنظمة الخاصة وسرقة المعلومات الحساسة والمراقبة واختراق الأجهزة. من خلال تحديد الثغرات بشكل استباقي في تطبيقات الويب التي يستخدمها عملاؤك وشركاؤك يمكنك تجنّب الاختراق المحتمل قبل حدوثه.
يُغطي مسار التعلّم هذا المعرفة المتوسطة والمتقدمة اللازمة لفهم عميق لثغرات تطبيقات الويب والتمكن من التعرّف عليها ويمكن استخدامها للعثور على الثغرات في أحد التطبيقات قبل قيام ممثلي التهديد بذلك أو لتوجيه ممارسات التطوير الآمنة أو لإصلاح ثغرات في تطبيقات الويب بشكل أكثر فعالية، حيث نغطي في مسار التعلّم هذا:
- أسباب إجراء تقييم أمان تطبيق الويب
- استخدام أنواع التقييم الفعّالة
- كيفية التعرّف على أنواع مختلفة من الثغرات الأمنية في تطبيقات الويب
- كيفية استغلال هذه الثغرات كيفية اختبار تطبيق الويب بشكل فعال وكفء ومنهجي بحثًا عن ثغرات
قائمة القراءة المرجعية
ظهر لدى المتطفلين وبالأخص السياسيين منهم تاريخ سابق شمل محاولات اختراق مواقع جماعات المجتمع المدني، وتشمل بعض الأمثلة ما يلي:
- مارس/آذار 2020 https://www.qurium.org/alerts/nigeria/premium-times-nigeria-ddos-attack/
- أكتوبر/تشرين الأول 2019 https://www.qurium.org/alerts/colombia/kontacto-lacks-of-security-exposed-data-from-55-000-people/
- أغسطس/آب 2019 https://www.qurium.org/alerts/zimbabwe/the-cyberattack-against-the-zimbabwe-electoral-commission/ سبتمبر/أيلول 2018https://www.qurium.org/alerts/zimbabwe/the-zimbabwe-election-commission-zec-website-what-went-wrong/
بالإضافة إلى ذلك، يمكن أن يتعرض أي موقع على الإنترنت لهجمات انتهازية وموجّهة من قبل الجهات الفاعلة ذات الدوافع المالية. لدى هؤلاء المتطفلين أهداف مثل سرقة كلمات مرور المستخدم أو معلومات بطاقة الدفع وما إلى ذلك لإعادة بيعها أو تعديل محتوى الموقع للتلاعب بترتيب البحث أو النقر الاحتيالي أو استخدام البنية التحتية للموقع نفسه لتعدين العملات المشفرة أو إرسال رسائل غير مرغوب فيها أو شن هجمات رفض الخدمة. على الرغم من أن العديد من هذه الهجمات قد لا تكون مستهدفة بناءً على دوافع سياسية، إلا أنها تشكل مخاطر كبيرة على السمعة والسرية لأي منظمة. لمزيد من المعلومات حول الهجمات الانتهازية والآلية على تطبيقات الويب، راجع هذا التقرير الصادر عن مشروع أمان تطبيق الويب المفتوح (OWASP).
الهدف
تمكين الحاصل على الشارة من إجراء تقييمات أمنية شاملة لتطبيقات الويب بكفاءة بما في ذلك التعرّف على أعلى 10 ثغرات في مشروع أمان تطبيق الويب المفتوح.
ما هي التهديدات التي تخففها أو تستجيب لها هذه المهارة؟
يمكن أن تساعد مهارات تقييم تطبيقات الويب في الاستجابة لتهديدات الاختراق من خلال:
- مخترقون مستقلون تُحفزهم الدولة
- مهاجمون ذوو دوافع مالية
ما هي المتطلبات المسبقة؟
- قبل بدء مسار التعلّم هذا، يجب على المتعلمين أولاً إكمال مسار تعلم أساسيات أمان موقع الويب إذا لم يكونوا على دراية بخوادم الويب والثغرات الأساسية في تطبيقات الويب، وحتى لو كانوا بالفعل على دراية بالموضوع الأوسع، فلا نزال نوصي بأن يتطرقوا إلى الموضوع الفرعي 6 لمسار تعلم الأساسيات الذي يركز على المهارات الشخصية اللازمة عند دعم الآخرين.
- إلمام أساسي بلغة تمييز النص التشعبي مثل تخطيط المستندات والقدرة على قراءة لغة تمييز النص التشعبي البسيطة، ولأجل مقدمة رائعة يمكن الاطلاع على إم دي إن MDN.
- مفاهيم لغة البرمجة الأساسية والقدرة على قراءة جافا سكريبت مبسطة ونوصي MDN مقدمة حول الموضوع.
- الفهم الأساسي لكيفية عمل بروتوكول نقل النص التشعبي، وكيفية تواصل المتصفح مع موقع الويب وكيف تبدو طلبات واستجابات بروتوكول نقل النص التشعبي ضمن هذا البروتوكول ونوصي بمقدمة حول هذه المواضيع متاحة في هذه المقالة وهذهالمقالة.
- فهم أساسي للغة الاستعلامات البنيوية (SQL) يكفي لاستيعاب الأوامر البسيطة وكيفية صياغتها، ويمكن العثور على مقدمة فيsqlzoo.
- إلمام أساسي بكيفية عمل سطر الأوامر على نظام تشغيل تختاره وكيفية تشغيل الأوامر عليه، ويمكن الاطلاع على مقدمة جيدة على إم دي إنMDN.
ما هي الأجهزة أو البرمجيات التي تحتاجها لأداء التمارين؟
_ Download and install WSL 2 from the Microsoft Store. Once installed, restart your computer to apply the changes.
- ستحتاج إلى جهاز كمبيوتر قادر على تشغيل تطبيقات جافا (Java) وداكر (Docker)، ويمكن أن يعمل على أي جهاز ماك أو إس (macOS) أو ويندوز (Windows) أو لينوكس (Linux) مزوّد بذاكرة وصول عشوائي تبلغ 8 غيغابايت وبعض المساحة الحرة على قرص تخزينه. تم اختبار جميع المختبرات هنا أيضًا على الأجهزة التي تعمل بنظام آبل سيليكون (Apple Silicon)، وتعمل.
- تعمل العديد من الأدوات في مسار التعلّم هذا بشكل أفضل على أنظمة تشغيل مشابهة لنظام يونكس (Unix). وهذا يعني أنه من الأسهل استخدام أجهزة لينوكس (Linux) أو ماك أو إس (macOS) أو ويندوز (Windows) المثبت عليها نظام ويندوز الفرعي لنظام لينوكس (Windows Subsystem for Linux).
- إذا كنت تعمل على ماك أو إس، فمن المستحسن تثبيت هومبرو Homebrew أو ماكبورتس Macports لأنها أدوات إدارة حزم يمكنها أتمتة عملية تثبيت بعض الأدوات الموضحة خلال مسار التعلّم.
- وبدلاً من ذلك إذا كان لديك كالي لينكس (Kali Linux) (يمكنك استخدام حزمة التثبيت التي استخدمتها لمسار تعلّم أساسيات أمان تطبيقات الويب)، فيجب أن تكون معظم الأدوات الموضحة أدناه مثبتة مسبقًا.
- في حال كنت تعمل على نظام ويندوز، فإننا نوصيك بتثبيت نظام ويندوز الفرعي لنظام لينوكس (Windows Subsystem for Linux) لتشغيل بعض الأدوات الموضحة أدناه، في حين يمكن تشغيل العديد منها على داكر قد يكون من الأسهل بكثير تشغيل تلك التي تحتاج بايثون ضمن نظام ويندوز الفرعي لنظام لينوكس مما يقلل من الحاجة إلى قضاء الوقت في تثبيت التبعيات. _ فيما يلي الوثائق المقدمة من مايكروسوفت (Microsoft) التي تشمل التفاصيل الكاملة حول كيفية تثبيت نظام ويندوز الفرعي لنظام لينوكس 2: https://docs.microsoft.com/en-us/windows/wsl/install-win10 _ افتح “تشغيل أو إيقاف ميزات ويندوز (Turn Windows features on or off)” في لوحة تحكم ويندوز وتأكد من اختيار “النظام الأساسي للأجهزة الظاهرية (Virtual Machine Platform)” و"نظام ويندوز الفرعي لنظام لينوكس". نزّل وثبّت نظام ويندوز الفرعي لنظام لينوكس 2 من متجر مايكروسوفت (Microsoft Store). بمجرد تثبيته أعد تشغيل الكمبيوتر لتطبيق التغييرات. _ افتح ويندوز باورشل (Windows PowerShell) أو موجه الأوامر (Command Prompt) بوضع المسؤول من خلال النقر بزر الماوس الأيمن واختيار “تشغيل كمسؤول (Run as administrator)” ثم شغّل الأمر wsl –set-default-version 2 سيكون ناتج هذا الأمر كما يلي: لمزيد من المعلومات حول الاختلافات الرئيسية مع نظام ويندوز الفرعي لنظام لينوكس 2، يرجى زيارة (https://aka.ms/wsl2) تمت العملية بنجاح. بمجرد تثبيت نظام ويندوز الفرعي لنظام لينوكس 2، يمكنك تثبيت توزيعة لينوكس التي تفضلها من متجر مايكروسوفت أو باستخدام سطر الأوامر. ما عليك سوى البحث عن “لينوكس (Linux)” في متجر مايكروسوفت، وتحديد التوزيعة المطلوبة (على سبيل المثال، أوبنتو (Ubuntu) أو ديبيان (Debian) أو غيرهما)، والنقر على “تثبيت (Install)”. بدلًا من ذلك يمكنك تثبيت توزيعة لينوكس باستخدام باورشل أو موجه الأوامر. افتح ويندوز باورشل أو موجه الأوامر واطلب سرد التوزيعات المتاحة: wsl –list –online قم بتثبيت توزيعة من هذه القائمة باستخدام أمر <اسم التوزيعة> wsl –install -d. wsl –install -d Ubuntu بعد التثبيت، سيكون لكل توزيعة لينوكس رمز في قائمة تطبيقات ويندوز، وبمجرد تثبيت نظام ويندوز الفرعي لنظام لينوكس، ستحتاج إلى إنشاء حساب مستخدم وكلمة مرور لتوزيعة لينوكس المثبتة حديثًا. يجب أن تفتح نافذة جديدة في لينوكس، وفيما يلي مراجعة سريعة لخيارات سطر أوامر النظام ويندوز الفرعي لنظام لينوكس. اطبع معلومات الاستخدام وشاهد وسيطات سطر الأوامر: wsl –help سرد التوزيعات المثبتة: wsl –list سرد التوزيعات قيد التشغيل فقط: wsl –list –running إنهاء التوزيعة قيد التشغيل: wsl –terminate Ubuntu-22.04 إيقاف تشغيل جميع التوزيعات قيد التشغيل: wsl –shutdown إلغاء تسجيل توزيع لينوكس وحذف نظام الملفات: wsl –unregister Ubuntu-22.04 تحديث النظام ويندوز الفرعي لنظام لينوكس إلى أحدث إصدار: wsl –update ابدأ التوزيعة الافتراضية: wsl
مسارات التعلّم ذات الصلة
بعد استكمال مسار التعلّم هذا، نوصي بأن يعمل المتعلمون على تعزيز حماية تطبيقات الويب والتحليل الجنائي والاستجابة للحوادث.
تهانينا على إنهائك المقدمة!
ضع علامة في خانة الاختيار لتأكيد أنك قرأت المقدمة وانتقل إلى الوحدة التالية.
تحديد على المقدمة على أنها مكتملة وحفظ التقدم للمستخدم.
🎉
تهانينا!
لقد أكملت جميع الوحدات في مسار التعلم هذا.