الوحدة السادسة: تحليل تهديدات الويب

فهم واكتشاف وتأمين تطبيقات الويب من الهجمات السيبرانية

أمن الويب الترميز الآمن ثغرات الويب
وحدات المقرر
الوحدة 1: المفاهيم الأساسية الوحدة 2: أدوات الأمان الشائعة الوحدة 3: أدوات تدقيق أمان الشبكة الوحدة 4: مراقبة وتحليل حركة الشبكة الوحدة 5: تحليل تهديدات التطبيقات وممارسات الترميز الآمن الوحدة 6: تحليل تهديدات الويب الوحدة 7: أمن قواعد البيانات الوحدة 8: الاستجابة للحوادث
العودة إلى المقرر
الموارد الإضافية

مقدمة الوحدة

تطبيقات الويب هي نقطة الدخول الأساسية للمهاجمين في العديد من الهجمات السيبرانية. في هذه الوحدة، سنركز على **فهم التهديدات الشائعة التي تستهدف تطبيقات الويب**، مثل اختطاف الجلسات وضعف التحقق من المدخلات. سنتعلم أيضاً أفضل الممارسات لـ **تأمين الكود**، و**تحليل الثغرات في اللغات البرمجية المختلفة**، وكيفية **تطوير صفحات ويب آمنة** من البداية.

الوقت المقدر لإكمال هذه الوحدة: 8 ساعات

الأهداف التعليمية

  • التعرف على المكونات الأساسية لتطبيقات الويب وكيفية تفاعلها.
  • فهم بروتوكولي **HTTP** و**HTTPS** والفرق بينهما في سياق الأمان.
  • اكتشاف أبرز **هجمات الويب** الشائعة مثل اختطاف الجلسات، SQL Injection، وXSS.
  • اكتساب مهارات في **كتابة تعليمات برمجية آمنة** وتأمين تكوينات خوادم الويب.
  • التعرف على أدوات تحليل تطبيقات الويب مثل **Burp Suite** وتطبيقها عملياً.

🧩 المفاهيم الأساسية في أمن الويب

مكونات تطبيقات الويب

يتكون تطبيق الويب عادةً من عدة طبقات تعمل معًا لتقديم الخدمة للمستخدم:

  • **واجهة المستخدم (Frontend):** الجزء الذي يتفاعل معه المستخدم مباشرةً، مبني عادةً باستخدام HTML, CSS, JavaScript.
  • **الخادم الخلفي (Backend):** المنطق البرمجي الذي يدير البيانات ويعالج الطلبات، ويُكتب بلغات مثل Python, PHP, Java, Node.js.
  • **قاعدة البيانات:** حيث يتم تخزين جميع البيانات الخاصة بالتطبيق والمستخدمين.
  • **خادم الويب (Web Server):** مثل Apache أو Nginx، وهو المسؤول عن استضافة التطبيق وتقديم المحتوى للمتصفحات.
بروتوكولي HTTP وHTTPS

هما بروتوكولان لنقل البيانات عبر الويب، لكن الفرق بينهما حاسم للأمان:

  • **HTTP (Hypertext Transfer Protocol):** بروتوكول غير مشفر، تُرسل البيانات من خلاله كنص عادي، مما يجعله عرضة للاعتراض (Man-in-the-Middle) وكشف المعلومات الحساسة.
  • **HTTPS (Hypertext Transfer Protocol Secure):** نسخة آمنة من HTTP تستخدم بروتوكول **SSL/TLS** لتشفير الاتصال بين المتصفح والخادم. هذا يضمن سرية وسلامة البيانات ويحميها من التجسس أو التلاعب.
هجمات الجلسات (Session Hijacking)

تحدث هذه الهجمات عندما يتمكن المهاجم من سرقة معرف جلسة المستخدم النشط (Session ID) واستخدامه لانتحال هوية المستخدم والوصول إلى حسابه دون الحاجة إلى كلمة المرور. يمكن أن تحدث هذه الهجمات بعدة طرق، منها:

  • **سرقة ملفات تعريف الارتباط (Cookie Theft):** عبر هجمات XSS أو التجسس على الشبكة.
  • **تخمين معرف الجلسة:** إذا كان معرف الجلسة سهل التنبؤ به.
  • **هجمات تثبيت الجلسة (Session Fixation):** حيث يفرض المهاجم معرف جلسة معين على الضحية.

🧪 القسم 1: كتابة تعليمات برمجية آمنة وفق الممارسات القياسية

تُعد كتابة الكود الآمن أساسًا لأي تطبيق ويب حصين. يهدف هذا القسم إلى تطبيق إرشادات ومعايير تطوير شيفرات برمجية تمنع الثغرات المحتملة.

أفضل الممارسات للترميز الآمن:
  • **التحقق من صحة المدخلات (Input Validation):** التأكد من أن جميع البيانات التي يتلقاها التطبيق من المستخدم أو مصادر خارجية تتوافق مع التوقعات. منع إدخال الأحرف الخاصة أو الأكواد الضارة.
  • **تنقية المخرجات (Output Sanitization/Encoding):** ترميز البيانات قبل عرضها للمستخدم لمنع هجمات XSS.
  • **استخدام مكتبات وأطر عمل آمنة:** الاعتماد على المكتبات والأطر البرمجية المعروفة والمختبرة أمنيًا، بدلاً من كتابة دوال حساسة يدويًا.
  • **إدارة الأخطاء والتسجيل الآمن (Secure Error Handling & Logging):** تجنب كشف معلومات حساسة (مثل مسارات الملفات أو تفاصيل قاعدة البيانات) في رسائل الأخطاء للمستخدم. تسجيل الأخطاء بفعالية للتدقيق.
  • **التعامل مع الذاكرة بحذر (Memory Management):** في اللغات منخفضة المستوى مثل C/C++، التحقق من الحدود لتفادي ثغرات تجاوز الذاكرة (Buffer Overflows).
  • **كتابة تعليقات واضحة وتوثيق الكود:** ليس فقط لتسهيل الصيانة والفهم، بل أيضاً لمساعدة المراجعين الأمنيين على فهم تدفق البيانات والنقاط الحساسة.
مثال عملي: تفادي ثغرات Buffer Overflow (في لغة C)

للتفادي ثغرة **Buffer Overflow** عند التعامل مع سلاسل نصية في لغة C، يُفضل استخدام الدوال التي تحد من حجم النسخ، مثل `strncpy()` بدلاً من `strcpy()`. 


// استخدام غير آمن (قد يؤدي إلى Buffer Overflow)
// char buffer[10];
// strcpy(buffer, input_string); 

// الاستخدام الآمن (يحد من حجم النسخ)
char buffer[10];
strncpy(buffer, input_string, sizeof(buffer) - 1);
buffer[sizeof(buffer) - 1] = '\0'; // ضمان إنهاء السلسلة

🧪 القسم 2: تطوير تطبيق خادم-عميل آمن بلغة C

بناء خوادم تتعامل مع الطلبات والاستجابات بطريقة آمنة أمر حاسم، خاصة عند استخدام لغة مثل C تتطلب إدارة دقيقة للذاكرة.

النقاط الأساسية لتطوير آمن:
  • **استخدام مكتبة OpenSSL للتشفير:** لتأمين الاتصال بين الخادم والعميل، يجب استخدام SSL/TLS عبر مكتبات مثل OpenSSL لضمان سرية وسلامة البيانات المنقولة.
  • **تجنب الدوال غير الآمنة:** تجنب استخدام الدوال المعروفة بأنها غير آمنة في C (مثل `gets()`, `strcpy()`, `sprintf()`) واستبدالها بنسخ آمنة (مثل `fgets()`, `strncpy()`, `snprintf()`).
  • **منع استغلالات الذاكرة:** من خلال إدارة صارمة للمدخلات، والتحقق من حجم المخازن المؤقتة، وتنظيف الذاكرة بعد الاستخدام.
  • **تطبيق مبدأ أقل الامتيازات (Least Privilege):** تشغيل الخادم والعمليات بأقل الصلاحيات الممكنة للحد من الأضرار في حالة الاختراق.

🧪 القسم 3: تحليل الثغرات في لغات البرمجة المختلفة

لكل لغة برمجية بيئتها ونقاط ضعفها المحتملة. يهدف هذا القسم إلى تحديد الثغرات الشائعة والتعامل معها بوعي لتقوية الكود.

التهديدات الشائعة حسب اللغة:
  • **PHP:** غالبًا ما ترتبط الثغرات بسوء التعامل مع إدخالات البيانات (Injection)، وثغرات تحميل الملفات الخطيرة، وضعف إدارة الجلسات.
  • **JavaScript (في المتصفح):** قابلية تنفيذ أكواد خبيثة عبر المتصفح (XSS) إذا لم يتم تنقية المخرجات بشكل صحيح، وثغرات في الـ APIs التي تستخدمها الواجهة الأمامية.
  • **SQL (قواعد البيانات):** الثغرات المرتبطة بإدخالات قابلة للحقن (SQL Injection) التي تسمح للمهاجمين بتنفيذ استعلامات SQL غير مصرح بها.
  • **Python/Ruby/Node.js:** قد تواجه ثغرات في معالجة المدخلات، أو مشاكل في مكتبات الطرف الثالث، أو هجمات Deserialization إذا لم يتم التعامل معها بحذر.

🧪 القسم 4: تصميم نموذج ويب آمن

النماذج الإلكترونية (Web Forms) هي واحدة من أهم نقاط التفاعل بين المستخدم والتطبيق؛ إن لم تكن مؤمنة، يمكن أن تكون نقطة دخول رئيسية للمهاجمين.

خطوات التطوير الآمن للنماذج:
  • **التحقق من صحة المدخلات (Input Validation):** التأكد من أن البيانات المدخلة تتوافق مع التوقعات (مثال: البريد الإلكتروني بتنسيق صحيح، الأرقام هي أرقام).
  • **تنقية البيانات (Input Sanitization):** إزالة أو تحييد أي محتوى ضار محتمل من المدخلات قبل معالجتها (مثال: إزالة علامات HTML في حقول النص العادي).
  • **تأمين الاتصال باستخدام HTTPS:** ضمان أن البيانات المرسلة عبر النموذج مشفرة ومحمية من التجسس.
  • **حماية CSRF (Cross-Site Request Forgery):** استخدام رموز CSRF (CSRF Tokens) لمنع المهاجمين من إجبار المستخدمين على إرسال طلبات غير مصرح بها.
  • **تحديد الأذونات المسموحة بدقة:** التأكد من أن المستخدمين لديهم الصلاحيات الدنيا المطلوبة فقط لإرسال النموذج.
  • **تشفير كلمات المرور:** عدم تخزين كلمات المرور كنص عادي، بل استخدام دوال تجزئة (Hashing) قوية.
مثال تطبيقي: نموذج تسجيل مستخدم آمن (HTML + PHP)

نموذج تسجيل مستخدم بسيط يتضمن ممارسات أمنية أساسية: 


<!-- HTML Form -->
<form action="register.php" method="POST">
    <label for="email">البريد الإلكتروني:</label>
    <input type="email" id="email" name="email" required><br>
    <label for="password">كلمة المرور:</label>
    <input type="password" id="password" name="password" required><br>
    <input type="hidden" name="csrf_token" value="YOUR_CSRF_TOKEN_HERE">
    <button type="submit">تسجيل</button>
</form>
                    

<?php
// register.php (Simplified Example)

// 1. التحقق من CSRF Token (مهم جداً!)
if (!isset($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die("خطأ: طلب غير صالح."); // CSRF Attack
}

// 2. التحقق من صحة المدخلات وتنقية البيانات
$email = filter_var($_POST['email'], FILTER_SANITIZE_EMAIL);
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
    die("البريد الإلكتروني غير صالح.");
}

$password = $_POST['password']; // لم يتم تنقيته بعد، لأنه سيتم تجزئته

// 3. تجزئة (Hashing) كلمة المرور قبل التخزين
$hashed_password = password_hash($password, PASSWORD_DEFAULT);

// 4. إدراج المستخدم في قاعدة البيانات (باستخدام PreparedStatement لمنع SQL Injection)
$stmt = $pdo->prepare("INSERT INTO users (email, password) VALUES (?, ?)");
$stmt->execute([$email, $hashed_password]);

echo "تم التسجيل بنجاح!";

// عرض رسالة خطأ عامة للمستخدم بدلاً من رسائل خطأ تفصيلية من النظام
// error_reporting(0); // في بيئة الإنتاج
?>

🧪 أمثلة عملية: ملخص التطبيقات

يوضح الجدول التالي أهم الأدوات والمفاهيم العملية التي تم تناولها في هذه الوحدة:

الأداة أو المثال التطبيق الرئيسي
**Burp Suite / OWASP ZAP** اختبار ثغرات تطبيقات الويب (Injection, XSS, CSRF).
**OpenSSL + C** تشفير الاتصال وتأمين تطبيقات الخادم-العميل.
**تحليل تطبيق PHP / JavaScript** كشف ثغرات رفع الملفات، حقن الكود (XSS)، وسوء معالجة المدخلات.
**نموذج تسجيل مستخدم (HTML + PHP)** تطبيق التحقق من صحة المدخلات، التنقية، وحماية CSRF.
**HTTPS** تأمين الاتصال بين المتصفح والخادم لمنع التجسس وتعديل البيانات.

💬 المناقشة والتفسير: لماذا يُعد أمن الويب حرجًا؟

تطبيقات الويب هي الواجهة التي يتفاعل بها ملايين المستخدمين يوميًا مع الخدمات المختلفة. أي ثغرة فيها يمكن أن تعرض بياناتهم للخطر، وتؤثر على سمعة الشركات، بل وتتسبب في خسائر مالية فادحة. لذلك، فإن فهم وتطبيق ممارسات أمن الويب أمر لا غنى عنه.

نقاط حاسمة في أمان الويب:
  • **كتابة كود آمن (Secure Coding):** يقلل من الثغرات في مرحلة التطوير. استخدام مكتبات قياسية، والتحقق الصارم من المدخلات، وتشفير البيانات الحساسة يقلل من المخاطر بشكل كبير.
  • **أمان تطبيقات الخادم:** تتطلب تطبيقات الخادم، خاصة المكتوبة بلغات منخفضة المستوى مثل C، تعاملاً حذراً مع الذاكرة وإدارة الموارد. الاستخدام غير السليم قد يؤدي إلى ثغرات يمكن استغلالها لتنفيذ تعليمات برمجية ضارة.
  • **وعي الثغرات الخاصة باللغة:** كل لغة برمجة قد تحتوي على خصائص أو ممارسات شائعة يمكن أن تُستغل. فحص هذه الجوانب ومتابعة توصيات OWASP وأفضل ممارسات الصناعة يساعد على تقوية الشيفرة وتأمين البرامج.
  • **تأمين نماذج الويب:** نماذج الويب هي نقاط إدخال أساسية. يجب التحقق من صحة المدخلات وتنقية البيانات بصرامة، استخدام HTTPS، وتطبيق حماية CSRF لمنع الهجمات.
  • **أمان الواجهات البرمجية (APIs):** مع تزايد استخدام APIs في تطبيقات الويب الحديثة، يجب تأمينها من خلال المصادقة القوية (مثل OAuth 2.0)، التخويل المناسب، والتحقق من صحة المدخلات.

✅ ملخص الوحدة: نقاط رئيسية

لتحقيق أمان فعال لتطبيقات الويب، يجب فهم التهديدات الشائعة وتطبيق ممارسات الترميز الآمن كخط دفاع أول:

التهديد المحتمل الأسلوب الوقائي وممارسات الترميز الآمن
**SQL Injection / XSS / Command Injection** **تنقية المدخلات** والتحقق من صحتها (Input Sanitization & Validation)، استخدام **الاستعلامات المُعَدَّة مسبقًا (Prepared Statements)**، و**ترميز المخرجات (Output Encoding)**.
**اختطاف الجلسات (Session Hijacking)** **إدارة الجلسات الآمنة**، استخدام ملفات تعريف الارتباط (Cookies) مع خصائص **HttpOnly** و**Secure flags**، وتجديد معرفات الجلسة بانتظام، وتعيين عمر مناسب للجلسة.
**CSRF (Cross-Site Request Forgery)** استخدام **رموز CSRF (CSRF Tokens)** في كل طلب، وفحص رأس Referer، وتطبيق سياسات CORS (Cross-Origin Resource Sharing) بحذر.
**تخزين غير آمن للبيانات الحساسة** **التشفير القوي** للبيانات أثناء التخزين والنقل، واستخدام **خوارزميات التجزئة (Hashing)** القوية لكلمات المرور.
**أذونات زائدة في التطبيقات** تطبيق **مبدأ أقل الامتيازات (Principle of Least Privilege)**؛ منح المستخدمين والعمليات الحد الأدنى من الصلاحيات الضرورية فقط.
**اتصال غير آمن (HTTP بدلاً من HTTPS)** الفرض الدائم لاستخدام بروتوكول **HTTPS** مع شهادات رقمية قوية وصالحة، وتطبيق **تثبيت الشهادات (Certificate Pinning)** حيثما أمكن.
**ثغرات تجاوز الذاكرة (Buffer Overflow)** في اللغات مثل C/C++، استخدام دوال آمنة للتعامل مع السلاسل (مثل `strncpy()`)، والتحقق من حدود الذاكرة.
**ثغرات في الواجهات البرمجية (APIs)** المصادقة والتخويل القوي للـ APIs (مثل OAuth 2.0)، التحقق الصارم من المدخلات والمخرجات، ومراقبة استخدام API.
اختبار المعرفة تمارين عملية الوحدة التالية
الوحدة السابقة: تحليل تهديدات التطبيقات وممارسات الترميز الآمن الوحدة التالية: أمن قواعد البيانات