الوحدة 8: التطبيقات العملية والدراسات الواقعية

📌 1. Injection Flaws – SQL Injection

💡 المفهوم: إدخال استعلامات ضارة في واجهة المستخدم للوصول إلى قاعدة البيانات.

🛡️ الحماية: استخدام الاستعلامات المُعدة مسبقًا (Prepared Statements).

🧪 تجربة تطبيقية عبر منصة: PortSwigger Labs - SQL Injection

📌 2. Authentication Bypasses – JWT, Password Reset

💡 المفهوم: تجاوز أنظمة المصادقة باستخدام رموز غير صالحة أو ثغرات في إعادة تعيين كلمة المرور.

🛡️ الحماية: توقيع JWT بشكل آمن، التحقق من هوية المستخدم في طلبات إعادة التعيين.

📘 قراءة إثرائية عن JSON Web Tokens: JWT.io

📌 3. XSS – Cross Site Scripting

💡 المفهوم: إدخال سكربت خبيث يتم تنفيذه في متصفح المستخدم.

🛡️ الحماية: ترميز البيانات قبل عرضها، استخدام Content Security Policy.

🧪 تدريب تطبيقي من OWASP: OWASP XSS Attack Guide

📌 4. CSRF – Cross Site Request Forgery

💡 المفهوم: إجبار المستخدم على تنفيذ طلب غير مقصود عبر موقع آخر.

🛡️ الحماية: استخدام رموز CSRF Tokens، والتحقق من أصل الطلب (Referer).

📘 شرح بصري: Acunetix - CSRF

📌 5. Access Control Failures

💡 المفهوم: السماح للمستخدمين بالوصول إلى موارد غير مخولين بها.

🛡️ الحماية: التحقق من الصلاحيات لكل طلب، عدم الاعتماد على واجهة المستخدم فقط.

📘 دليل OWASP للسيطرة على الوصول: OWASP Broken Access Control

📌 6. Insecure Communication

💡 المفهوم: إرسال بيانات حساسة بدون تشفير.

🛡️ الحماية: استخدام HTTPS، تشفير البيانات قيد النقل باستخدام TLS.

📌 7. Vulnerable Components

💡 المفهوم: استخدام مكتبات/برمجيات قديمة بها ثغرات.

🛡️ الحماية: تحديث دوري للمكتبات، استخدام أدوات مثل Dependabot أو Snyk.

📘 فحص الثغرات في حزم NPM وPython: Snyk, Dependabot

🕵️‍♂️ حالة 1: اختراق بيانات شركة Equifax

• 📅 سنة: 2017
• 💥 السبب: ثغرة في مكتبة Apache Struts لم يتم ترقيعها.
• 🧠 الدرس: أهمية إدارة التحديثات واكتشاف الثغرات بسرعة.

📘 تقرير مفصل: GAO Report on Equifax Breach

🕵️‍♂️ حالة 2: تسريب بيانات بسبب إعادة استخدام JWT سرّي

• 💥 التحدي: تم اختراق النظام باستخدام JWT موقعة بمفتاح مكشوف.
• 🧠 الدرس: ضرورة إدارة الأسرار واستخدام مفاتيح آمنة غير قابلة للتنبؤ.