يناقش تاريخ نشأة الويب والحاجة الى أمن الويب ويتطرق إلى بعض الجوانب والأمور المتعلقة بأمن الويب.تم النشر بهدف أغناء المكتبة العربية

1. ‫إعداد‬:‫م‬.‫حمامي‬ ‫نهى‬
2017

2. ‫العرض‬ ‫محتويات‬:
‫ال‬web‫تطور‬ ‫لحظة‬
‫ال‬ ‫اختراع‬web
‫تطو‬ ‫مراحل‬‫ر‬‫ال‬Web
‫ال‬ ‫أمن‬ ‫إلى‬ ‫الحاجة‬web
‫ال‬ ‫أمن‬"security web" web
‫ال‬ ‫أمن‬ ‫أهمية‬web
‫ال‬ ‫جوانب‬web
‫ال‬ ‫جوانب‬ ‫على‬ ‫الهجوم‬web
‫ال‬ ‫جوانب‬ ‫على‬ ‫الهجوم‬web
‫ال‬ ‫ثغرات‬web vulnerabilities”web
‫أواسب‬ ‫منظمة‬OWASP
‫مشروع‬OWASP Top Ten
‫الحقن‬ ‫ثغرات‬
injection vulnerabilities
‫استغالل‬ ‫على‬ ‫كالسيكي‬ ‫مثال‬SQL injection
‫من‬ ‫الحماية‬ ‫تقنيات‬SQL injection
XSS
‫االجتماعية‬ ‫الهندسة‬ ‫ثغرة‬Social engineering:
‫التصيد‬phishing

3. ‫ال‬web‫تطور‬ ‫لحظة‬
3
‫المختبر‬‫للجسيمات‬ ‫األوروبي‬‫الفيزيائية‬CERN
‫الى‬ ‫بحاجة‬‫تحقق‬ ‫طريقة‬‫تواصل‬‫المجموعات‬‫أ‬ ‫عبر‬ ‫الموزعة‬ ‫المختلفة‬ ‫العاملة‬‫نحاء‬
‫األبحاث‬ ‫ونتائج‬ ‫ألمعلومات‬ ‫لتبادل‬ ‫العالم‬.
Berners-Lee‫عام‬ ‫في‬1983‫مختبر‬ ‫في‬ ‫يعمل‬ ‫كان‬CERN‫برمجي‬ ‫كمستشار‬
‫تركيب‬ ‫على‬‫نظاما‬‫توثيقيا‬‫يمكن‬‫تبادل‬ ‫من‬ ‫العاملين‬‫ومع‬ ‫أبحاثهم‬ ‫نتائج‬‫الجاتهم‬
‫عليه‬ ‫كانت‬ ‫مما‬ ‫أسهل‬ ‫بصورة‬

4. ‫ال‬ ‫اختراع‬web:
4
Berners-Lee
1983
Internet
Sgml
hyper textHTML
http
URL
1990First message across
the web by Berners-Lee

5. ‫تطو‬ ‫مراحل‬‫ر‬‫ال‬Web:
5
-1web1.0
‫مخترعه‬Tim B. Lee
‫ويب‬‫القراءة‬
‫المعلومات‬ ‫مشاركة‬ ‫على‬ ‫يعتمد‬
Web2.0-2:
‫مخترعه‬Tim Oreilly
‫القراءة‬ ‫ويب‬‫والكتابة‬
‫يعتمد‬‫على‬‫التفاعل‬
-3web3.0:
‫مخترعه‬Tim B . Lee
‫والتنفيذ‬ ‫القراءة‬ ‫ويب‬
‫على‬ ‫يعتمد‬‫االنغماس‬‫بالمعنى‬

6. ‫ال‬ ‫أمن‬ ‫إلى‬ ‫الحاجة‬:web
6
‫األيام‬ ‫في‬‫ال‬ ‫نشوء‬ ‫من‬ ‫األولى‬web:
‫االستخدام‬‫المعرفة‬ ‫تبادل‬ ‫هو‬ ‫له‬ ‫الرئيسي‬‫األكاديمية‬
‫تركيبة‬‫نظام‬ ‫ألي‬ ‫للوصول‬ ‫كافية‬ ‫المرور‬ ‫وكلمة‬ ‫المستخدم‬ ‫اسم‬
.‫ذلك‬ ‫وكان‬‫عميقة‬ ‫فلسفة‬ ‫المعنيين‬ ‫الناس‬ ‫من‬ ‫لكثير‬ ‫بالنسبة‬‫الجذور‬
‫أجيال‬ ‫ظهور‬ ‫تالحق‬ ‫بعد‬‫ال‬: web
‫المستخدمين‬ ‫عدد‬ ‫تزايد‬
‫التطبيقات‬ ‫عدد‬ ‫تزايد‬
‫ال‬ ‫يعد‬ ‫لم‬web‫المعلومات‬ ‫لتبادل‬ ‫للناس‬ ‫وسيلة‬ ‫مجرد‬ ‫هو‬:‫المعامال‬‫ت‬
‫كلها‬ ‫أخرى‬ ‫أنظمة‬ ‫إلى‬ ‫بعد‬ ‫عن‬ ‫والوصول‬ ،‫والتسوق‬ ،‫المصرفية‬‫أمثلة‬
‫آمن‬ ‫بشكل‬ ‫تنفذ‬ ‫أن‬ ‫إلى‬ ‫تحتاج‬ ‫التي‬ ‫االستخدامات‬ ‫على‬

7. ‫أمن‬‫ال‬:"security web" web
7
‫السيبراني‬ ‫األمن‬cyber security
‫عليها‬ ‫والرد‬ ،‫منع‬ ‫و‬ ‫الهجمات‬ ‫كشف‬ ‫خالل‬ ‫من‬ ‫المعلومات‬ ‫حماية‬ ‫على‬ ‫ينطوي‬.
‫رئيسيين‬ ‫مجالين‬ ‫من‬ ‫يتكون‬:
‫أمن‬‫ال‬ ‫تطبيقات‬web-Web Application Security
‫أمن‬‫ال‬ ‫متصفح‬web-Web Browser Security
‫ال‬ ‫أمن‬ ‫أهداف‬web:
-1‫ال‬ ‫تطبيقات‬ ‫تضمن‬ ‫أن‬ ‫يجب‬web‫المست‬ ‫التطبيق‬ ‫يتطلبه‬ ‫الذي‬ ‫األمان‬ ‫نفس‬‫قل‬.
2-‫ال‬ ‫متصفحات‬ ‫على‬ ‫يجب‬web‫تجنب‬ ‫تضمن‬ ‫بطريقة‬ ‫المستخدمين‬ ‫حماية‬
‫ال‬ ‫البيانات‬ ‫كشف‬ ‫وتجنب‬ ‫الضارة‬ ‫والبرامج‬ ‫بالفيروسات‬ ‫الحاسوب‬ ‫عدوى‬‫حساسة‬

8. ‫ال‬ ‫أمن‬ ‫أهمية‬web:
8
1-‫معظم‬‫ثغرات‬ ‫لديها‬ ‫الويب‬ ‫مواقع‬"‫ضعف‬ ‫نقاط‬"vulnerabilities:
‫يمكن‬‫للمهاجمين‬Attackers‫طريق‬ ‫عن‬ ‫السرية‬ ‫البيانات‬ ‫إلى‬ ‫الوصول‬
‫الويب‬ ‫تطبيقات‬ ‫اختراق‬
2-‫العديد‬‫أمني‬ ‫تفكير‬ ‫ذات‬ ‫ليست‬ ‫المستخدمين‬ ‫من‬security minded:
‫قد‬‫المهاجمون‬ ‫يستهدف‬Attackers‫مطالبتهم‬ ‫خالل‬ ‫من‬ ‫المستخدمين‬
‫الضارة‬ ‫الويب‬ ‫مواقع‬ ‫بزيارة‬malicious web sites
-3‫عدة‬ ‫استهداف‬ ‫يمكن‬‫عناصر‬:
‫سطح‬‫ضخم‬ ‫الهجوم‬Huge attack surface
‫عدة‬‫طبقات‬layers‫أن‬ ‫يمكن‬ ‫محاولة‬ ‫أو‬ ‫طريقة‬ ‫من‬ ‫وأكثر‬ ‫مهاجمتها‬ ‫يمكن‬
‫ممكنة‬ ‫تكون‬

9. ‫جوانب‬‫ال‬web:
9
‫يتضمن‬‫ال‬web‫مختلفة‬ ‫لهجمات‬ ‫تتعرض‬ ‫أن‬ ‫الممكن‬ ‫من‬ ‫جوانب‬ ‫عدة‬:
-1‫مخدم‬ ‫ال‬ ‫جانب‬server
-2‫العميل‬ ‫جانب‬client
Browser
NetworkOS
Hardware
Web
site
request
reply

10. ‫ال‬ ‫جوانب‬ ‫على‬ ‫الهجوم‬web:
10
-1‫المخدم‬ ‫جانب‬ ‫على‬ ‫الهجوم‬:
‫جانب‬ ‫في‬ ‫أطراف‬ ‫عدة‬ ‫على‬ ‫الهجوم‬ ‫المهاجم‬ ‫يستطيع‬‫المخدم‬
‫المخدمات‬Web servers
‫التطبيقات‬Web applications
‫الخدمات‬Web services
‫قواعد‬‫البيانات‬Databases.
‫مخدم‬‫ال‬web:‫هو‬software‫الكومبيوتر‬ ‫تشغيل‬ ‫نظام‬ ‫داخل‬ ‫يعمل‬server
‫تطبيق‬ ‫إلى‬ ‫بالوصول‬ ‫لالتصال‬ ‫يسمح‬ ‫والذي‬‫ال‬web.
‫ال‬ ‫أكثرمخدمات‬web‫هي‬ ً‫ا‬‫انتشار‬:
Internet Information Services (IIS)‫ايعمل‬‫ويندوز‬ ‫نظام‬ ‫على‬.
Apache server‫يعمل‬‫لينكس‬ ‫أنظمة‬ ‫على‬.
‫ال‬ ‫تطبيق‬web:‫ال‬ ‫مخدم‬ ‫على‬ ‫يعمل‬ ‫الذي‬ ‫المصدري‬ ‫الكود‬ ‫هو‬ ً‫ا‬‫فعلي‬web‫يؤمن‬ ‫وهو‬
‫ال‬ ‫مستخدم‬ ‫مع‬ ‫التفاعل‬ ‫عملية‬web.

11. -1‫المخدم‬ ‫جانب‬ ‫على‬ ‫الهجوم‬:
11
‫ال‬ ‫مخدم‬ ‫على‬ ‫الهجوم‬web:
‫المخدمات‬servers‫تط‬ ‫داخل‬ ‫تكون‬ ‫المجلدات‬ ‫وهذه‬ ‫كمبيوتر‬ ‫جهاز‬ ‫أي‬ ‫مثل‬ ‫عادية‬ ‫مجلدات‬ ‫بنية‬ ‫تملك‬‫بيق‬
‫ال‬web
‫ال‬ ‫مخدم‬web‫عليه‬ ‫تعمل‬ ‫التي‬ ‫الخدمات‬ ‫مهاجمة‬ ‫يحاول‬ ‫المهاجم‬ ‫و‬ ‫ثغرات‬ ‫على‬ ‫يحوي‬ ‫أن‬ ‫يمكن‬
‫مخدم‬ ‫لملفات‬ ‫به‬ ‫مصرح‬ ‫غير‬ ‫دخول‬ ‫على‬ ‫للحصول‬server‫ال‬web‫النظام‬ ‫وملفات‬.
‫ال‬ ‫تطبيق‬ ‫على‬ ‫الهجوم‬web:
‫المخدم‬ ‫جانب‬ ‫في‬ ‫الضعف‬ ‫نقاط‬ ‫من‬ ‫وغيرها‬ ‫الكود‬ ‫حقن‬ ‫ثغرات‬ ‫استغالل‬ ‫للقراصنة‬ ‫يمكن‬ ،‫عادة‬:
SQL Injection
Command execution
XML External Entities
‫لوحات‬ ‫وجود‬ ‫ستغل‬ُ‫ي‬ ‫وأن‬ ‫تكوينه‬ ‫وسوء‬ ‫الويب‬ ‫خادم‬ ‫ستغل‬ُ‫ي‬ ‫أن‬ ‫يمكن‬ ‫و‬‫إدارية‬
‫مكشوفة‬administrative panels‫الكثير‬ ‫وغيرها‬...
‫التطبيقات‬ ‫أمن‬ ‫دفاع‬ ‫وسائل‬ ‫وتطبق‬Web Application Security‫جانب‬ ‫على‬ ‫الهجمات‬ ‫لرد‬
‫المخدم‬

12. -2‫العميل‬ ‫جانب‬ ‫على‬ ‫الهجوم‬:
12
1-‫المستخدم‬ ‫على‬ ‫الهجوم‬
2-‫ال‬ ‫متصفح‬ ‫على‬ ‫الهجوم‬web-Web Browser
1-‫المستخدم‬ ‫على‬ ‫الهجوم‬:
‫ال‬ ‫مستخدم‬Web‫ال‬ ‫تطبيق‬ ‫بإدارة‬ ‫يقوم‬ ‫الذي‬ ‫هو‬ ‫الداخلي‬web(‫المبرمج‬ ‫أو‬ ‫المدير‬)‫والمستخدم‬
‫الخارجي‬(‫الزائر‬ ‫أو‬ ‫الزبون‬)
‫ال‬ ‫مستخدم‬ ‫على‬ ‫الهجمات‬ ‫أنواع‬ ‫بعض‬web‫ال‬ ‫تطبيق‬ ‫في‬ ‫ثغرات‬ ‫على‬ ‫تعتمد‬web‫والبعض‬
‫ال‬ ‫تطبيق‬ ‫في‬ ‫ثغرة‬ ‫أي‬ ‫وجود‬ ‫يتطلب‬ ‫ال‬ ‫اآلخر‬web‫ب‬ ‫وذلك‬ ‫المستخدم‬ ‫جهل‬ ‫على‬ ‫فقط‬ ‫تعتمد‬ ‫ولكن‬
‫االجتماعية‬ ‫الهندسة‬ ‫استخدام‬.
‫ال‬ ‫مستخدمي‬ ‫كال‬web‫ثغرات‬ ‫خالل‬ ‫من‬ ‫للهجوم‬ ‫عرضة‬
•Cross-site scripting(XSS)
•Cross-site request forgery(CSRF)‫وغيرها‬

13. 2-‫ال‬ ‫متصفح‬ ‫على‬ ‫الهجوم‬web-
Web Browser:
13
‫البيانات‬ ‫لنقل‬ ‫الرئيسي‬ ‫البروتوكول‬
‫ال‬ ‫مواقع‬ ‫عبر‬Web‫هو‬HTTP
‫مشفر‬ ‫غير‬
‫البروتوكول‬HTTPS‫الـ‬ ‫البروتوكول‬ ‫من‬ ‫مزيج‬ ‫وهو‬http‫و‬ ،‫تفاصيله‬ ‫بكل‬
‫الـ‬ ‫بروتوكول‬SSL/TLS‫المستخدم‬ ‫بين‬ ‫ما‬ ‫وآمنة‬ ‫مشفرة‬ ‫قناة‬ ‫بإنشاء‬ ‫يقوم‬ ‫الذي‬
‫ال‬ ‫ومخدم‬internet‫الـ‬ ‫بيانات‬ ‫نقل‬ ‫أجل‬ ‫من‬http‫ضمنها‬.

14. ‫ثغرات‬‫ال‬web
: web vulnerabilities
14
‫لعيب‬ ‫نتيجة‬ ‫بالنظام‬ ‫موجود‬ ‫ضعف‬ ‫هي‬ ‫ببساطه‬ ‫األمنية‬ ‫الثغرات‬‫ما‬
‫واستغالله‬ ‫اليه‬ ‫الوصول‬ ‫المهاجم‬ ‫يستطيع‬ ‫بالنظام‬.
‫ما‬‫ال‬ ‫يضعون‬ ‫الذين‬ ‫هم‬ ‫البشر‬ ‫دام‬code‫التعرض‬ ‫قابليات‬ ‫فستبقى‬ ،
‫الثغرات‬ ‫باستغالل‬ ‫للهجوم‬‫األمنية‬
‫المستخدمين‬ ‫أو‬ ‫للمنظمات‬ ‫البد‬ ‫الدائم‬ ‫التهديد‬ ‫هذا‬ ‫ضوء‬ ‫في‬
‫للحماية‬ ‫مختلفة‬ ‫وطرائق‬ ‫نهج‬ ‫اتباع‬ ‫من‬ ‫المواقع‬ ‫ومبرمجي‬
‫وسرقة‬ ‫أنظمتهم‬ ‫تدمير‬ ‫من‬ ‫المهاجمين‬ ‫لمنع‬ ‫الثغرات‬ ‫وسد‬
‫معلوماتهم‬.

15. ‫منظمة‬‫أواسب‬: OWASP
15
‫الويب‬ ‫تطبيقات‬ ‫ألمن‬ ‫المفتوح‬ ‫المشروع‬(OWASP)‫مختص‬ ‫مفتوح‬ ‫مجتمع‬ ‫عن‬ ‫عبارة‬ ‫هو‬
‫الوثو‬ ‫يمكن‬ ‫بشكل‬ ‫التطبيقات‬ ‫على‬ ‫والحصول‬ ‫وشراء‬ ‫تطوير‬ ‫من‬ ‫المنظمات‬ ‫لتمكين‬‫به‬ ‫ق‬.
.‫في‬(‫أواسب‬)‫يلي‬ ‫ما‬ ‫على‬ ‫مفتوح‬ ‫وبشكل‬ ً‫ا‬‫مجان‬ ‫الحصول‬ ‫يمكن‬:
‫والتطو‬ ،‫التطبيقات‬ ‫أمن‬ ‫إختبار‬ ‫في‬ ‫متكاملة‬ ‫كتب‬ ‫و‬ ‫التطبيقات‬ ‫أمن‬ ‫ومعايير‬ ‫أدوات‬‫اآلمن‬ ‫ير‬
‫مت‬ ‫أبحاث‬ ‫الى‬ ‫باإلضافة‬ ‫البرمجية‬ ‫للنصوص‬ ‫األمنية‬ ‫والمراجعة‬ ‫البرمجية‬ ‫للنصوص‬‫طورة‬..
‫مؤسسة‬(OWASP)‫للمشروع‬ ‫المستمر‬ ‫النجاح‬ ‫تضمن‬ ‫ربحية‬ ‫غير‬ ‫منشأة‬ ‫هي‬.ً‫ا‬‫تقريب‬‫جميع‬
‫إلى‬ ‫المنتسبين‬(OWASP)‫العالمية‬ ‫واللجآن‬ ‫المجلس‬ ‫أعضاء‬ ‫فيهم‬ ‫بمن‬ ،‫المتطوعين‬ ‫من‬ ‫هم‬

16. ‫مشروع‬
OWASP Top Ten:
16
‫أصدرت‬OWASP
‫من‬ ‫األول‬ ‫االصدار‬
‫مشروع‬OWASP
Top Ten‫عام‬ ‫في‬
2003‫الهدف‬ ‫أن‬ ‫حيث‬
‫عن‬ ‫الوعي‬ ‫نشر‬ ‫هو‬ ‫منه‬
‫أمن‬
‫بت‬ ‫وذلك‬ ‫التطبيقات‬‫حديد‬
‫األمنية‬ ‫المخاطر‬ ‫أبرز‬
‫تواجهه‬ ‫قد‬ ‫التي‬ ‫الحرجة‬‫ا‬
‫المنظمات‬‫وأجرت‬
‫في‬ ‫ثانوية‬ ‫تحديثات‬
‫عامي‬2004‫و‬
2007‫و‬2010‫و‬
2013

17. ‫الحقن‬ ‫ثغرات‬
injection vulnerabilities:
17
‫خ‬ ‫يدوي‬ ‫دخل‬ ‫تقديم‬ ‫خالل‬ ‫من‬ ‫الكود‬ ‫حقن‬ ‫ثغرة‬ ‫استغالل‬ ‫يستطيع‬ ‫المهاجم‬‫بيث‬
‫ال‬ ‫تطبيق‬ ‫يجعل‬web‫المعلومات‬ ‫كعرض‬ ‫به‬ ‫مسموح‬ ‫غير‬ ‫بعمل‬ ‫يقوم‬
‫الحساسة‬(‫السر‬ ‫وكلمات‬ ‫األسماء‬)‫النظام‬ ‫تعليمات‬ ‫تنفيذ‬ ‫أو‬(‫حس‬ ‫اضافة‬‫اب‬
‫المدير‬)‫الحماي‬ ‫اجراءات‬ ‫في‬ ‫لنقص‬ ‫نتيجة‬ ‫يتم‬ ‫الكود‬ ‫حقن‬ ‫هجوم‬ ‫أن‬ ‫حيث‬‫ة‬.
‫ال‬ ‫تطبيقات‬ ‫في‬ ‫الحقن‬ ‫أنواع‬ ‫بعض‬web‫هي‬:
‫البيانات‬ ‫قواعد‬ ‫طلبات‬ ‫حقن‬SQL injection
‫التشغيل‬ ‫نظام‬ ‫تعليمات‬ ‫حقن‬injection operating system
commands
‫طلبات‬ ‫حقن‬lightweight directory access protocol(LDAP)
‫طلبات‬ ‫حقن‬XML path language (XPATH)

18. 1-‫ثغرات‬SQL injection:
18
SQL injection‫ال‬ ‫تطبيقات‬ ‫ثغرات‬ ‫أقدم‬ ‫أحد‬ ‫هو‬web
‫ثغرات‬SQL injection‫لسببين‬ ‫تحدث‬:
‫المستخدم‬ ‫دخل‬ ‫تنقيح‬ ‫عملية‬ ‫في‬ ‫ضعف‬(‫بعملي‬ ‫يقم‬ ‫لم‬ ‫المبرمج‬‫أو‬ ‫فلترة‬ ‫ة‬
‫الدخل‬ ‫لمتغير‬ ‫تصفية‬.)
‫قناة‬ ‫نقس‬ ‫في‬ ‫مدمجان‬ ‫والتحكم‬ ‫البيانات‬‫االتصال‬
‫بالقف‬ ‫للمهاجم‬ ‫تسمح‬ ‫المستخدم‬ ‫دخل‬ ‫تنقيح‬ ‫عملية‬ ‫في‬ ‫الضعف‬‫ز‬
‫بالبيانات‬ ‫الخاص‬ ‫الجزء‬ ‫من‬(‫بين‬ ‫الموجودة‬ ‫النصية‬ ‫السلسلة‬
‫مفردة‬ ‫تنصيص‬ ‫إشارات‬)‫تحكم‬ ‫تعليمات‬ ‫حقن‬ ‫إلى‬(‫مثل‬
OR,SELECT,UNION, AND(

19. ‫تدفق‬ ‫عملية‬‫المعلومات‬
‫ضمن‬‫ال‬web:
19
•‫ال‬ ‫ضمن‬ ‫المعلومات‬ ‫تدفق‬ ‫عملية‬ ‫تتم‬web‫صفوف‬ ‫ثالث‬ ‫من‬ ‫مؤلفة‬ ‫بنية‬ ‫في‬
‫المستخدم‬ ‫هي‬server,‫ال‬web,‫و‬server‫البيانات‬ ‫قاعدة‬
•‫بعبارة‬ ‫التالعب‬ ‫يمكن‬SQL‫وجعل‬server‫البيانات‬ ‫قاعدة‬‫مهمة‬ ‫بيانات‬ ‫يعيد‬
‫المرور‬ ‫وكلمات‬ ‫المستخدمين‬ ‫أسماء‬ ‫مثل‬.

20. ‫على‬ ‫كالسيكي‬ ‫مثال‬‫استغالل‬
SQL injection:
20
‫صندوق‬ ‫الى‬ ‫التالي‬ ‫ادخال‬‫الكترونية‬ ‫تجارة‬ ‫موقع‬ ‫في‬ ‫كتاب‬ ‫عن‬ ‫البحث‬
Or 1=1#’hacking web
‫عبارة‬ ‫سيبني‬ ‫الدخل‬ ‫هذا‬sql‫التالية‬‫ارسالها‬ ‫ويتم‬‫بتنفيذه‬ ‫ليقوم‬ ‫المترجم‬ ‫إلى‬‫ا‬
SELECT *FROM books WHERE bookName=' hacking web'
or 1=1'#
‫اشارة‬#‫هي‬comment inline‫بعدها‬ ‫شيء‬ ‫كل‬ ‫يتجاهل‬ ‫المترجم‬ ‫تجعل‬
‫نتيجة‬‫عبارة‬sql‫هي‬ ‫المحقون‬ ‫الكود‬ ‫لهذا‬
SELECT *FROM books WHERE bookName=' hacking
web' or 1=1
‫عرض‬ ‫يتم‬ ‫لن‬ ‫أنه‬ ‫النهائي‬ ‫التنفيذ‬ ‫نتيجة‬hacking web‫أسماء‬ ‫عرض‬ ‫سيتم‬ ‫بل‬ ‫فقط‬
ً

21. ‫استغالل‬ ‫على‬ ‫كالسيكي‬ ‫مثال‬
SQL injection:
21

22. ‫من‬ ‫الحماية‬ ‫تقنيات‬SQL injection:
22
-1‫البرمجية‬ ‫التطبيق‬ ‫واجهة‬ ‫باستخدام‬ ‫هو‬ ‫واسب‬ ‫حسب‬ ‫المفضل‬ ‫الخيار‬"API"
‫واج‬ ‫عبر‬ ‫مخاطبتها‬ ‫أو‬ ،‫كامل‬ ‫بشكل‬ ‫ِّر‬‫فس‬ُ‫م‬‫ال‬ ‫استخدام‬ ‫تتجنب‬ ‫والتي‬‫هة‬
‫الت‬ِّ‫المعام‬"parameterized interface. "‫استخدام‬ ‫عند‬ ‫الحذر‬ ‫يجب‬
‫واجهات‬
‫الت‬ِّ‫بالمعام‬ ‫تتعامل‬ ‫التي‬ ‫المخزنة‬ ‫اإلجراءات‬ ‫مثل‬ ،‫البرمجية‬ ‫التطبيق‬‫يمكن‬ ‫حيث‬
‫الحقن‬ ‫ثغرات‬ ‫في‬ ‫تتسبب‬ ‫أن‬.
2-‫سياسة‬ ‫استخدام‬white list&black list‫اي‬ ‫من‬ ‫التطبيق‬ ‫لحماية‬input
‫غير‬
‫مشبوه‬ ‫او‬ ‫متوقع‬
-3‫بالمعامالت‬ ‫تتعامل‬ ‫التي‬ ‫البرمجية‬ ‫التطبيق‬ ‫واجهة‬ ‫توفر‬ ‫عدم‬ ‫حال‬ ‫في‬
"parameterized API"‫استخدام‬ ‫يجب‬–‫وبحذر‬-‫تخطي‬ ‫صياغات‬
‫مناسبة‬

23. ‫من‬ ‫الحماية‬ ‫تقنيات‬SQL injection:
23
-4‫تقنية‬ ‫استخدام‬prepared statements‫وهو‬‫يتم‬ ‫حيث‬ ‫وفاعل‬ ‫سهل‬ ‫أسلوب‬
‫بين‬ ‫عزل‬‫والتنفيذ‬ ‫االستعالم‬
5-‫عملية‬ ‫تنفيذ‬Code Review‫مختبر‬ ‫أو‬ ‫المبرمج‬ ‫بها‬ ‫يقوم‬ ‫عملية‬ ‫وهي‬
‫االختراق‬‫ويقوم‬
‫من‬‫جميع‬ ‫أن‬ ‫من‬ ‫بالتأكد‬ ‫خالل‬‫ال‬ ‫إلى‬ ‫المدخالت‬script‫من‬ ‫سواء‬ ‫فلترتها‬ ‫تمت‬
‫خالل‬strip_tags‫بعملية‬ ‫القيام‬ ‫بعد‬ ‫الممكن‬ ‫ومن‬ ‫المشابهه‬ ‫الدوال‬ ‫أو‬Code
Review‫لل‬ ‫بسيط‬ ‫باختبار‬ ‫المبرمج‬ ‫يقوم‬ ‫ان‬script‫بمحاول‬ ‫ويقوم‬ ‫حقيقية‬ ‫بيئة‬ ‫في‬‫ة‬
‫ال‬ ‫اختراق‬script‫بعملية‬ ‫يعرف‬ ‫ما‬ ‫وهذا‬‫قد‬ ‫يكون‬ ‫خاللها‬ ‫ومن‬ ‫االختراق‬ ‫اختبار‬
‫ال‬ ‫حماية‬ ‫من‬ ‫تأكد‬script‫جيده‬ ‫بنسبه‬..‫المم‬ ‫الحدود‬ ‫ألقصى‬ ‫الحماية‬ ‫يزيد‬ ‫ولكي‬‫كن‬
‫أن‬‫ال‬ ‫بعض‬ ‫يستخدم‬IDS‫مثل‬Mod_security‫بهذه‬ ‫الوقع‬ ‫عدم‬ ‫يضمن‬ ‫لكي‬
‫الثغرات‬.
-6‫بقاعدة‬ ‫لالتصال‬ ‫المخصصين‬ ‫المستخدمين‬ ‫استخدم‬‫البيانات‬

24. 2-‫عبر‬ ‫البرمجة‬ ‫ثغرة‬‫الموقع‬
Scripting (XSS)Cross-Site:
24
‫ال‬ ‫تطبيقات‬ ‫في‬ ً‫ا‬‫جد‬ ‫منتشرة‬ ‫ثغرة‬ ‫هي‬web
‫موقع‬ ‫بزيارة‬ ‫المستخدم‬ ‫يقوم‬ ‫عندما‬web‫تطبيق‬ ‫مع‬ ‫موثوقة‬ ‫عالقة‬ ‫يطور‬ ‫متصفحه‬ ‫فإن‬
‫ال‬web‫ال‬ ‫موقع‬ ‫من‬ ‫بالطلب‬ ‫يقوم‬ ‫ألنه‬ ‫موثوقة‬ ‫العالقة‬ ‫هذه‬ ‫أن‬ ‫يفترض‬ ‫المتصفح‬ ،web
‫ال‬ ‫تطبيق‬ ‫من‬ ‫إليه‬ ‫تعود‬ ‫إجابة‬ ‫بأي‬ ‫يثق‬ ‫أن‬ ‫عليه‬ ‫ويجب‬web.
‫ال‬ ‫و‬ ‫والمستندات‬ ‫للصور‬ ‫تسمح‬ ‫بها‬ ‫الموثوق‬ ‫العالقة‬ ‫هذه‬script‫ال‬ ‫تطبيق‬ ‫من‬web‫بالظهور‬
‫ال‬ ‫متصفح‬ ‫على‬web.
‫هذه‬‫بثغرة‬ ‫مصاب‬ ‫التطبيق‬ ‫يكون‬ ‫عندما‬ ‫آمنة‬ ‫تكون‬ ‫ال‬ ‫العالقة‬XSS‫مصاب‬ ‫التطبيق‬ ‫كان‬ ‫إذا‬
‫بثغرة‬XSS‫لعنوان‬ ‫طلب‬ ‫خلق‬ ‫يستطيع‬ ‫المهاجم‬ ‫فإن‬URL‫ويقوم‬ ‫خبيث‬ ‫سكريبت‬ ‫على‬ ‫يحوي‬
‫عنوان‬ ‫بتمرير‬URL‫الط‬ ‫فإن‬ ‫الرابط‬ ‫هذا‬ ‫على‬ ‫بالضغط‬ ‫الهدف‬ ‫قام‬ ‫إذا‬ ،‫الهدف‬ ‫المستخدم‬ ‫إلى‬‫لب‬
‫إرس‬ ‫خالل‬ ‫من‬ ‫بالرد‬ ‫يقوم‬ ‫سوف‬ ‫التطبيق‬ ،‫الويب‬ ‫تطبيق‬ ‫إلى‬ ‫يرسل‬ ‫سوف‬ ‫الخبيث‬‫إلى‬ ‫إجابة‬ ‫ال‬
‫ويرس‬ ‫السيرفر‬ ‫في‬ ‫يتولد‬ ‫السكريبت‬ ‫هذا‬ ،‫خبيث‬ ‫سكريبت‬ ‫على‬ ‫تحوي‬ ‫المستخدم‬‫متصفح‬ ‫إلى‬ ‫ل‬
‫المتصفح‬ ‫في‬ ‫تنفيذه‬ ‫ويتم‬ ‫الهدف‬.‫ال‬ ‫بتنفيذ‬ ‫يقوم‬ ‫سوف‬ ‫المتصفح‬script‫ال‬ ‫بتطبيق‬ ‫يثق‬ ‫ألنه‬
web

25. ‫الموقع‬ ‫عبر‬ ‫البرمجة‬ ‫ثغرة‬
Scripting (XSS)Cross-Site:
25

26. ‫الهجوم‬ ‫من‬ ‫التخفيف‬ ‫وسائل‬XSS:
26
-1‫لغة‬ ‫جمل‬ ‫تشفير‬HTML‫أو‬‫تعديلها‬ ‫أو‬ ‫بإلغائها‬ ‫إما‬ ،‫البرمجة‬ ‫جمل‬ ‫تحييد‬
-2‫من‬ ‫الحماية‬ ‫تؤمن‬ ‫وتعليمات‬ ‫يرمجه‬ ‫بيئة‬ ‫استخدام‬XSS‫مثل‬.net
-3‫ال‬ ‫لغة‬ ‫على‬ ‫كليا‬ ‫االعتماد‬ ‫يحبذ‬ ‫فال‬ ‫االهمية‬ ‫شديد‬ ‫الذي‬ ‫الموقع‬ ‫كان‬ ‫اذا‬‫برمجة‬
‫للتخطي‬ ‫تقنيات‬ ‫توفر‬ ‫اال‬ ‫الممكن‬ ‫من‬ ‫ألنه‬ ‫الحماية‬ ‫توفر‬ ‫لكي‬ ‫المنصة‬ ‫او‬‫من‬ ‫لذا‬
‫سياسة‬ ‫استخدام‬ ‫االفضل‬white list&black list:،‫أنواعه‬ ‫بكل‬ ‫اإلدخال‬ ‫تقييم‬ ‫يتم‬ ‫حيث‬
‫البرامج‬ ‫تطوير‬ ‫أنواع‬ ‫أغلب‬ ‫في‬ ‫يستخدم‬ ‫وهي‬(‫ال‬ ‫على‬ ‫ليست‬ ‫التي‬ ‫حتى‬internet.)‫سبيل‬ ‫فعلى‬
‫جهاز‬ ‫فإن‬ ،‫الهاتف‬ ‫لرقم‬ ‫هو‬ ‫به‬ ‫البيانات‬ ‫إدخال‬ ‫المراد‬ ‫الحقل‬ ‫كان‬ ‫إذا‬ ،‫المثال‬
‫إال‬ ‫اإلدخال‬ ‫يحتوي‬ ‫لن‬ ‫ولذلك‬ ،‫األرقام‬ ‫غير‬ ‫أخرى‬ ‫رموز‬ ‫أي‬ ‫بإلغاء‬ ‫يقوم‬ ‫الخادم‬
‫فقط‬ ‫أرقام‬ ‫على‬.‫أن‬ ‫الحقل‬ ‫على‬ ‫يجب‬ ‫عندما‬ ‫فعال‬ ‫غير‬ ‫يبدو‬ ،‫النوع‬ ‫هذا‬ ‫ولكن‬
‫اآلخ‬ ‫البعض‬ ‫ومنع‬ ‫بعضها‬ ‫قبول‬ ً‫صعبا‬ ‫فيغدو‬ ،‫الخاصة‬ ‫الرموز‬ ‫بعض‬ ‫يقبل‬‫ر‬.

27. 3-‫عبر‬ ‫الطلبات‬ ‫تزوير‬ ‫ثغرة‬‫الموقع‬
Cross-Site Request Forgery
"CSRF:
27
‫ال‬ ‫بتطبيق‬ ‫المتصفح‬ ‫ثقة‬ ‫تتطلب‬ ‫الثغرة‬ ‫هذه‬web‫يقوم‬ ‫أن‬ ‫وتتطلب‬
‫ج‬ ‫مستخدم‬ ‫قبل‬ ‫من‬ ‫عليه‬ ‫الضغط‬ ‫ليتم‬ ‫خبيث‬ ‫طلب‬ ‫بخلق‬ ‫المهاجم‬‫أو‬ ‫اهل‬
‫في‬ ‫كما‬ ‫الخبيث‬ ‫السكريبت‬ ‫حقن‬ ‫من‬ ‫بدال‬ ‫ولكن‬ ‫الخبرة‬ ‫قليل‬XSS
‫فإن‬‫هجوم‬CSRF‫م‬ ‫بدون‬ ‫التطبيق‬ ‫في‬ ‫شرعي‬ ‫عمل‬ ‫بتنفيذ‬ ‫يقوم‬‫عرفة‬
‫الهدف‬ ‫المستخدم‬.
‫معظم‬‫ت‬ ‫أو‬ ‫جديد‬ ‫مستخدم‬ ‫خلق‬ ‫مثل‬ ‫التطبيق‬ ‫يدعمها‬ ‫التي‬ ‫العمليات‬‫غيير‬
‫إدراك‬ ‫بدون‬ ‫تتم‬ ‫أن‬ ‫يمكن‬ ‫الويب‬ ‫موقع‬ ‫محتوى‬ ‫حذف‬ ‫أو‬ ‫السر‬ ‫كلمة‬
‫بهجوم‬ ‫المستخدم‬CSRF‫الطلب‬ ‫بتزوير‬ ‫تسميته‬ ‫سبب‬ ‫هو‬ ‫وهذا‬
request forgery

28. ‫بالقيام‬ ‫وإقناعهم‬ ‫خداعهم‬ ‫أجل‬ ‫من‬ ‫البشر‬ ‫في‬ ‫التالعب‬ ‫فن‬ ‫هي‬
‫بأعمال‬‫السرية‬ ‫معلوماتهم‬ ‫لكشف‬ ‫تؤدي‬.‫من‬ ‫النوع‬ ‫هذا‬‫الثغرات‬
‫يعتمد‬ ‫ال‬‫أي‬ ‫على‬‫في‬ ‫موجودة‬ ‫تقنية‬ ‫ثغرات‬server‫ال‬web‫أو‬
‫ال‬ ‫تطبيق‬ ‫في‬web‫ولكن‬‫مباشر‬ ‫بشكل‬ ‫الهدف‬ ‫المستخدم‬ ‫على‬ ‫تعتمد‬.
‫من‬ ‫المستخدم‬ ‫خداع‬ ‫على‬ ‫باالعتماد‬ ‫تتم‬ ‫المستخدم‬ ‫طرف‬ ‫في‬ ‫الهجمات‬ ‫من‬ ‫العديد‬‫أجل‬
‫بنظامه‬ ‫الخاصة‬ ‫الحساسة‬ ‫المعلومات‬ ‫كشف‬.
‫ي‬ ‫أن‬ ‫أو‬ ‫مخادعة‬ ‫هاتفية‬ ‫مكالمة‬ ‫اجراء‬ ‫طريق‬ ‫عن‬ ‫تتم‬ ‫أن‬ ‫يمكن‬ ‫االجتماعية‬ ‫الهندسة‬‫قوم‬
‫مصرح‬ ‫موظف‬ ‫أنه‬ ‫على‬ ‫بالتظاهر‬ ‫المهاجم‬‫له‬‫بالوصول‬‫للنظام‬.
‫هذا‬‫الج‬ ‫مثل‬ ‫التقليدية‬ ‫الحماية‬ ‫طرق‬ ‫خالل‬ ‫من‬ ‫ايقافه‬ ‫يمكن‬ ‫ال‬ ‫الهجمات‬ ‫من‬ ‫النوع‬‫دران‬
‫النارية‬firewalls‫وبر‬ ‫الفيروسات‬ ‫مضادات‬ ‫وبرامج‬ ‫التطفل‬ ‫ومنع‬ ‫كشف‬ ‫وأنظمة‬‫امج‬
‫تحديثات‬ ‫اجراء‬ ‫أجل‬ ‫من‬ ‫النظام‬ ‫ترقيع‬ ‫خالل‬ ‫من‬ ‫أو‬ ‫الخبيثة‬ ‫البرمجيات‬ ‫ازالة‬.
4-‫الهندسة‬ ‫ثغرة‬‫االجتماعية‬
Social engineering:
28

29. 5-‫التصيد‬phishing:
29
‫لص‬ ً‫ا‬‫تمام‬ ‫مماثلة‬ ‫دخول‬ ‫تسجيل‬ ‫صفحة‬ ‫خلق‬ ‫خالل‬ ‫من‬ ‫يتم‬ ‫الهجوم‬ ‫هذا‬‫فحة‬
‫بموقع‬ ‫الخاصة‬ ‫الدخول‬ ‫تسجيل‬‫مثال‬face book‫الصفحة‬ ‫في‬ ‫ولكن‬
‫تس‬ ‫بيانات‬ ‫إرسال‬ ‫ليتم‬ ‫البارامترات‬ ‫بعض‬ ‫تغيير‬ ‫يتم‬ ‫المزورة‬‫الدخول‬ ‫جيل‬
‫إلى‬ ‫بالهدف‬ ‫الخاصة‬‫المهاجم‬‫صفحة‬ ‫إلى‬ ‫الهدف‬ ‫توجيه‬ ‫إعادة‬ ‫ثم‬ ‫ومن‬
face book‫األصلية‬.

30. ‫الملخص‬:
30
‫الـ‬ ‫أمن‬ ‫إن‬web‫الكت‬ ‫موقع‬ ‫من‬ ‫مؤسسة‬ ‫تخلو‬ ‫ال‬ ‫تكاد‬ ‫إذ‬ ‫الحاضر‬ ‫وقتنا‬ ‫في‬ ‫األهمية‬ ‫في‬ ‫غاية‬ ‫موضوع‬ ‫يعتبر‬‫روني‬
‫والعمالء‬ ‫الموظفين‬ ‫وبين‬ ‫وفروعها‬ ‫إدارتها‬ ‫بين‬ ‫الوصل‬ ‫صلة‬ ‫بمثابة‬ ‫يكون‬.‫جد‬ ‫قليلين‬ ‫أن‬ ‫الى‬ ‫إضافة‬‫يتصلون‬ ‫ال‬ ‫من‬ ‫ا‬
‫ال‬ ‫بشبكة‬web‫مختلفة‬ ‫ألغراض‬ ‫يومي‬ ‫شبه‬ ‫بشكل‬.
ً‫ا‬‫نظر‬‫الـ‬ ‫شبكة‬ ‫نطاق‬ ‫التساع‬web‫قبل‬ ‫من‬ ‫لالختراق‬ ‫معرضة‬ ‫تكون‬ ‫أن‬ ‫الممكن‬ ‫من‬ ‫جوانب‬ ‫عدة‬ ‫هنالك‬ ‫فإن‬
‫في‬ ‫موجودة‬ ‫ثغرات‬ ‫يستغل‬ ‫أو‬ ‫الشبكة‬ ‫من‬ ‫المخدم‬ ‫جانب‬ ‫في‬ ‫موجودة‬ ‫ثغرات‬ ‫المهاجم‬ ‫يستغل‬ ‫كأن‬ ‫عدة‬ ‫مهاجمون‬‫جانب‬
‫العميل‬.
‫المخدم‬ ‫جانب‬ ‫في‬ ‫أطراف‬ ‫عدة‬ ‫على‬ ‫الهجوم‬ ‫المهاجم‬ ‫يستطيع‬ ‫حيث‬,‫المخدمات‬ ‫على‬ ‫الهجوم‬ ‫يمكنه‬Web
servers‫التطبيقات‬ ‫الى‬ ‫باإلضافة‬Web applications‫والخدمات‬Web services‫البيانات‬ ‫وقواعد‬
Databases.
‫كال‬ ‫على‬ ‫الهجوم‬ ‫يمكنه‬ ‫حيث‬ ‫العميل‬ ‫جانب‬ ‫في‬ ‫أطراف‬ ‫عدة‬ ‫على‬ ‫الهجوم‬ ‫المهاجم‬ ‫يستطيع‬ ‫أنه‬ ‫الى‬ ‫باإلضافة‬‫من‬
‫نفسه‬ ‫والمستخدم‬ ‫المتصفح‬
‫لذلك‬‫تكون‬ ‫مختلفة‬ ‫احتياطات‬ ‫يأخذوا‬ ‫أن‬ ‫المبرمجين‬ ‫و‬ ‫االلكتروني‬ ‫األمن‬ ‫خبراء‬ ‫على‬ ً‫ا‬‫واجب‬ ‫كان‬
‫ومنع‬ ‫كشف‬ ‫بأنظمة‬ ‫المخدم‬ ‫يجهزوا‬ ‫كأن‬ ‫العميل‬ ‫لجانب‬ ‫و‬ ‫المخدم‬ ‫لجانب‬ ‫حماية‬ ‫جدار‬ ‫بمثابة‬
‫والتسلل‬ ‫االختراق‬. ....‫نسبة‬ ‫تضمن‬ ‫االلكترونية‬ ‫للمواقع‬ ‫برمجة‬ ‫بيئات‬ ‫و‬ ‫أدوات‬ ‫يستخدموا‬ ‫وأن‬
‫مطلق‬ ‫الكتروني‬ ‫أمن‬ ‫يوجد‬ ‫ال‬ ‫أنه‬ ‫حيث‬ ‫االلكتروني‬ ‫األمن‬ ‫من‬ ‫مقبولة‬.

31. -5‫استنتاج‬
31
‫آلية‬ ‫تأمين‬ ‫إن‬‫للدفاع‬‫الـ‬ ‫أمن‬ ‫في‬web‫ليست‬‫حيث‬ ‫السهل‬ ‫باألمر‬
‫أن‬:
‫الكشف‬‫لألخطاء‬ ‫األقل‬ ‫على‬ ،‫تافها‬ ‫ليس‬ ‫األمنية‬ ‫الثغرات‬ ‫عن‬"‫المأل‬ ‫غير‬‫وفة‬"
‫اختبار‬‫بالتأكيد‬ ‫هو‬ ‫االختراق‬‫مفيدة‬ ‫عملية‬‫ل‬ ،‫الضعف‬ ‫نقاط‬ ‫الكتشاف‬‫ال‬ ‫كنه‬
‫المطلق‬ ‫األمن‬ ‫يضمن‬
‫حماية‬‫ال‬ ‫على‬ ‫سواء‬ ‫حد‬ ‫على‬ ‫الحماية‬ ‫من‬ ‫طبقات‬ ‫عدة‬ ‫يتطلب‬ ‫المستخدمين‬‫عميل‬
‫الخادم‬ ‫جانب‬ ‫وعلى‬

32. -6‫المراجع‬‫العلمية‬:
32
-1‫األجنبية‬ ‫المراجع‬
[1] –n.p, "History of the Web",united kingdom: Oxford Brookes
University 2002
[2]-n.p,"OWASP Top10-2013",OWASP organization,2013
[3]- Eric van der Vlist, Alessandro Vernet,Erik Bruchez, Joe
Fawcett, and Danny Ayers, "Professional Web 2.0
Programming"Kanada,wiley publishing,2007
[4]- M. Rajendra Prasad, B. Manjula, V.Bapuji, "A Novel Overview
and Evolution of World Wide Web: Comparison from Web 1.0 to
Web 3.0"(artical) India, Kakatiya University,2013
[5]- Mauro Gentile, "Web security: an introduction to attack
techniques and defense methods",Rome, Sapienza University of

33. 2-‫العربية‬ ‫المراجع‬:
33
[6]-‫طويلة‬ ‫حسين‬ ‫جميل‬,"‫وتطبيقات‬ ‫سيرفرات‬ ‫اختراق‬ ‫اختبار‬
‫الويب‬",‫سوريا‬,‫دمشق‬,12/2/2016

34. -3‫االلكترونية‬ ‫المواقع‬:
34
[7]-http://forum.montadaphp.net/t2022,12/8/2017
[8]-https://slideshare/ ‫التعليم‬ ‫في‬Web1 – Web2 – Web3 ‫تطبيقات‬
.com, 12/8/2017
[9]-https://slideshare/ Web Security.com, 12/8/2017
[10]-https://slideshare/ Basic web security model.com,
12/8/2017

35. End Presentation
Thank you !!!

36. ‫نفسك‬ ‫تثقيف‬ ‫هي‬ ‫للمقال‬ ‫قراءتك‬ ‫من‬ ‫الغاية‬ ‫كان‬ ‫ان‬‫أهال‬‫كك‬
‫أيضا‬ ‫للجامعة‬ ‫مقال‬ ‫اعداد‬ ‫هي‬ ‫الغاية‬ ‫كانت‬ ‫ان‬‫كك‬ ‫أهال‬‫أتمن‬‫ى‬
‫أن‬‫لك‬ ‫قدمت‬ ‫أكون‬-‫الغموض‬ ‫عند‬ ‫تمحص‬ ‫وأن‬ ‫الفائدة‬ ‫لكي‬
‫قصد‬ ‫دون‬ ‫من‬ ‫خطأ‬ ‫ورد‬ ‫ركما‬ ‫المعلومة‬ ‫في‬...‫يكون‬ ‫وأن‬
‫أساس‬ ‫حجر‬ ‫العرض‬‫لتكحث‬‫في‬‫مواضيع‬‫متقدمة‬...

37. ‫لي‬ ‫ادعوا‬