اذهب إلى المحتوى

السؤال

Recommended Posts

  • 1
نشر

وعليكم السلام ورحمة الله وبركاته، مرحباً بك أسامة.

بعض الأخطاء البرمجية في التطوير قد يتم إستغلالها بشكل غير أخلاقي من أجل العثور على ثغرات أمنية. فمثلاً كانت هنالك ثغرة أمنية للويب تعرف بالـ SQL injection والتي مكنت المهاجمين من التحصل على معلومات من قاعدة البيانات، وسببها حدوثها الرئيسي هو عدم التحقق من البيانات المدخلة عن طريق المستخدمين بشكل كافي داخل السيرفر مما يسمح لبعض الأشخاص من إدخال كلمات محجوزة لـ SQL والتي تمكنهم من التلاعب بالبيانات. الأخطاء البرمجية التي تؤدي إلى العثور على ثغرات مثل هذه أغلبها تطرأ بسبب عدم التحقق وإختبار السوفتوير بما فيه الكفاية.

تحياتي لك.

  • 1
نشر

الخطأ البرمجي ينتج عامة من عدم إدخال الاحتمالات أثناء كتابة البرنامج

فالتفكير باحتمالات الأخطاء التي قد يفعلها المستخدم أثناء العمل على التطبيق تعطي مرونه للتعامل معها عن طريق كود برمجي صحيح وبناء على ذلك يتم وضع حلول للإحتمالات هذه. 

  • 1
نشر (معدل)

الثغرة الأمنية أو الـ Security Bug هي أوسع من تحصر في موقع أو تطبيق , قد نجد الثغرات في أنظمة التشغيل أو السيرفرات أيضا , أما عن الثغرات الأمنية في مواقع الويب أو تطبيقاته هي << غالبا >> ما تكون مرتبطة بحقول الادخال ( الـ Forms ) و أغلب الهجمات تكون عن طريق الفورمز تلك . 

اما بتحميل فايل ملغم على السيرفر عن طريقها وهي ما تعرف بهجمات الـ Remote File Uploads , أو عن طريقة كتابة سكربت أو كود يقوم بعملية تخريبية ما (هجمات الـ Cross Site Scripting)  أو عن طريق حقن أمر SQL (ولعلها الأشهر على الاطلاق , الـ Sql Injections), فالفورمز ومدخلاتها هي المدخل الوحيد الذي يستطيع الاتصال بالسرفر و هو ما يستغله المخرب او المخترق . 

وهنا يأتي دور الـ Validation و الـ sanitizing على السرفر سايد وعلى الكلاينت سايد . فالثغرة الأمنية بموقع تكون اما بثغرة على السيرفر نفسه , او ربما على نظام التشغيل . أو في ضعف أو ربما غياب التعقيم و توثيق المعلومات قبل وبعد وأثناء ارسالها الى السيرفر , و قبل أي عملية حقن في قاعدة البيانات أو التعامل مع ملفات السيرفر . 
بعض المفاهيم والأساليب في البرمجة الكائنية التوجه OOP قد يكون لها دور كبير ايضا في الامن المعلوماتي مثل مفهوم التغليف أو الـ Encapsulation . وهو الاتجاه البرمجي الذي يتجه نحوه العالم . 
فالثغرة الأمنية قد لا تكون غالبا خطأ في السكريب أو خطأ في كتابة الكود , بل في الغفلة عن تغليف المعلومات أو معالجتها وتوثيقها و تعقيمها من أي ما قد يكون مضرا بالموقع. أي بصف جميع الاحتمالات الممكن عملها بحقل ما و معالجتها  (وهو نفسه ما قاله الاخ في تعليق سابق)

تحياتي

تم التعديل في بواسطة Adnane Kadri

انضم إلى النقاش

يمكنك أن تنشر الآن وتسجل لاحقًا. إذا كان لديك حساب، فسجل الدخول الآن لتنشر باسم حسابك.

زائر
أجب على هذا السؤال...

×   لقد أضفت محتوى بخط أو تنسيق مختلف.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   جرى استعادة المحتوى السابق..   امسح المحرر

×   You cannot paste images directly. Upload or insert images from URL.

  • إعلانات

  • تابعنا على



×
×
  • أضف...