ما هي اخطر الثغرات في المواقع؟

بشكل عام، يوجد مجموعة من الثغرات التي يهتم مطورو الواجهات الخلفية بتغطيتها لضمان سلامة البيانات او سلامة التطبيق ككل، نذكر منها:

• ثغرات الحقن injections وتكون باستغلال حقول الادخال في تقديم شيفرات واكواد الى واجهة التطبيق الخلفية، قد تكون الشيفرات هاته استعلامات قواعد بيانات فتسمى SQL injection او تعليمات نظام تشغيل او طلبيات HTTP

يوجد ايضا ثغرات اخرى من مثل:

• تزوير الطلبات عبر المواقع cross site request forgery
• البرمجة عبر الموقع cross site scripting او XSS 
• ضعف ادارة جلسات الاتصال Broken session management
• التوجيه غير المحقق Invalid redirects and forwards

وتلافي مشكلة استغلال هاته الثغرات يكون بتعلم اسس الامان في اللغة البرمجية التي تتعامل معها، فكل منها تقوم بتغطية او التخفيف من احتمالية الاصابة بهاته الثغرات بطريقته. ابتداءا من فحص الادخالات او فرض نوع معين من البيانات او تعريف المستخدم برمز مميز او ما الى ذلك.

يوجد العديد من الثغرات التي يجب الإهتمام بها من جانب مطورو الواجهات الخلفية لتقليل فرص تعرض الموقع أو البيانات للخطر وحسب OWASP و هو منظمة دولية غير ربحية مكرسة لأمن تطبيقات الويب . أحد المبادئ الأساسية لـ OWASP هو أن تكون جميع موادها متاحة مجانًا ويمكن الوصول إليها بسهولة على موقع الويب الخاص بها ، مما يتيح لأي شخص تحسين أمان تطبيق الويب الخاص به. تشمل المواد التي يقدمونها الوثائق والأدوات ومقاطع الفيديو والمنتديات. ربما يكون مشروعهم الأكثر شهرة هو OWASP Top 10. وهذا المشروع يتضمن الكثير من المعلومات حول ال 10 ثغرات الأكثر خطراً

1. الحقن Injection

2.  المصادقة المعطلة Broken Authentication

3. التعرض للبيانات الحساسة Sensitive Data Exposure

4. XML External Entities (XEE)

5. كسر التحكم في الوصول Broken Access Control

6. خطأ في التكوين الأمني Security Misconfiguration

7. البرمجة النصية عبر المواقع Cross-Site Scripting

8. إزالة التسلسل غير الآمن Insecure Deserialization

9. استخدام المكونات مع الثغرات المعروفة Using Components With Known Vulnerabilities

10. Insufficient Logging And Monitoring

لإلقاء نظرة أكثر تقنية ومتعمقة على OWASP Top 10 ، راجع التقرير الرسمي .