أسئلة حول أمان تطبيقات PHP والأدوات المستخدمة للحماية

من الممكن إختراق أي كود بما في ذلك PHP، إذا لم يتم تطبيق إجراءات الأمان المناسبة. ومع ذلك، يمكن اتخاذ عدة إجراءات لتحسين أمان الكود المكتوب بلغة PHP، من بينها:

• تحديث الإصدارات: يجب تحديث نسخة PHP إلى أحدث إصداراتها المتاحة وتحديث جميع المكتبات والإضافات المستخدمة. هذا يضمن استخدام أحدث الأمان والميزات الجديدة المتاحة في PHP، بما في ذلك إصلاح الثغرات الأمنية المعروفة في الإصدارات القديمة.
•  استخدام الأدوات الأمنية: ينبغي استخدام أدوات الأمان والحماية مثل Firewall والخوادم الآمنة وأدوات إدارة الوصول وغيرها. هذه الأدوات تساعد في حماية الخادم وتطبيقاته من هجمات القرصنة وتقليل فرصة الوصول غير المصرح به إلى الموارد الحساسة.
• التحقق من المدخلات: يجب التحقق من جميع المدخلات المستخدمة في التطبيقات PHP، مثل النماذج والمعاملات والبيانات المرسلة عبر الإنترنت، لضمان عدم وجود بيانات خبيثة أو مدمرة. يمكن استخدام مكتبات مثل "Filter Functions" في PHP لضمان تحقق المدخلات.
• تشفير البيانات: يجب تشفير جميع البيانات الحساسة والمهمة مثل كلمات المرور وبيانات العملاء والمعاملات، وذلك لحمايتها من الوصول الغير المصرح بها. يمكن استخدام بروتوكولات التشفير مثل SSL / TLS لتشفير الاتصالات عبر الإنترنت.
• تطبيق مبدأ الحد الأدنى للصلاحيات: يجب تطبيق مبدأ الحد الأدنى للصلاحيات على المستخدمين والمديرين والمطورين. يجب تخصيص الصلاحيات لكل مستخدم وفقاً لدوره في التطبيق، وتقييد الصلاحيات اللازمة للمطورين والمديرين.
• فحص الشفرة المصدرية: يجب فحص شفرة PHP بانتظام للتحقق من عدم وجود ثغرات أمنية وإجراء الإصلاحات اللازمة. يمكن استخدام أدوات مثل "Static Code Analysis" و"Vulnerability Scanners" للتحقق من أي ثغرات أمنية محتملة في شفرة PHP.

بشكل عام، يمكن اتخاذ هذه الإجراءات وغيرها لتحسين أمان الكود المكتوب بلغة PHP والحد من فرصة اختراقه. ومع ذلك، يجب العلم بأنه لا يمكن تحقيق أمن مطلق، ويجب الاستعداد للتعامل مع أي هجمات محتملة بطريقة سريعة وفعالة.

كل خطوة من الخطوات السابقة تحتاج للعديد من المقالات لذلك قم بالتعمق في كل خطوة

قبل الحديث عن كيفية اختراق كود PHP، يجب أن نفهم بعض المفاهيم الأساسية فيما يتعلق بأمن التطبيقات.

المفاهيم الأساسية فيما يتعلق بأمن التطبيقات

1-الثغرات الأمنية

نقاط ضعف في تصميم أو تنفيذ التطبيق يمكن للمهاجم استغلالها للوصول إلى معلومات أو مصادر يسمح له بتنفيذ عمليات غير مصرح بها.

2- هجوم الحقن

هو نوع من الهجمات التي تستخدم للاستغلال الثغرات الأمنية في تطبيقات الويب، حيث يقوم المهاجم بإدخال بيانات ضارة في حقل الإدخال في التطبيق للحصول على تصرفات لا تصرح بها، مثل الوصول إلى قواعد البيانات أو تنفيذ أوامر خبيثة.

3- تهيئة PHP

PHP هي لغة برمجة قابلة للتكوين، وهذا يعني أنه يمكن تعديل إعدادات اللغة بحيث تجعل التطبيقات المبنية عليها أكثر أمانًا.

4- إدارة الجلسات

تستخدم الجلسات في PHP للحفاظ على حالة المستخدم بين طلبات الصفحة المختلفة، ويجب إدارة هذه الجلسات بعناية لمنع هجمات الاختراق.

5- استخدام المتغيرات المرسلة بواسطة المستخدم

يجب التحقق من جميع المتغيرات المرسلة بواسطة المستخدم قبل استخدامها في البرنامج لمنع هجمات الحقن.

آخر شيء يريده أي مطور هو أن يتم اختراق تطبيقه، لذا، يجب على أي مطور مراعاة بعض النقاط الأساسية لتأمين تطبيقه المبني على PHP.

طرق يمكن استخدامها لاختراق التطبيقات المبنية على PHP

1- الهجوم على قاعدة البيانات

إذا كان التطبيق يستخدم قاعدة بيانات MySQL أو أي نظام إدارة قواعد البيانات (DBMS) آخر، فمن الممكن أن يتم استغلال ثغرات في تطبيق PHP للوصول إلى البيانات المخزنة في قاعدة البيانات.

مثلاً، الهجوم على قاعدة البيانات للوصول إلى كلمات المرور المخزنة بشكل غير آمن أو إدخال بيانات ضارة في القاعدة.

2- الهجوم على الجلسات

إذا كان التطبيق يستخدم جلسات PHP، فمن الممكن للمهاجم استغلال ثغرات في تطبيق PHP لسرقة الجلسات والوصول إلى حسابات المستخدمين أو تنفيذ أوامر بدلاً منهم،  ومن الممكن الاستفادة من هجوم الاختراق على الجلسات لتنفيذ أي نوع من الأوامر على التطبيق المخترق.

3- الاستغلال الضعيف لإدارة المتغيرات المرسلة بواسطة المستخدم

إذا لم يتم التحقق من المدخلات المرسلة من المستخدمين، يمكن للمهاجم استغلال هذه الثغرة لتنفيذ أوامر ضارة في التطبيق.

ومن الأمثلة على ذلك هجوم SQL injection وهو نوع من هجمات الحقن الذي يستخدم لتنفيذ أوامر SQL خبيثة في قاعدة البيانات.

4- استخدام تطبيقات مهاجمة

يستطيع المهاجم استخدام تطبيقات مهاجمة مثل Burp Suite أو OWASP ZAP لاختبار التطبيق على الإنترنت وتحديد الثغرات في التطبيق.

5- عدم تحديث الإصدارات

إذا لم يتم تحديث إصدارات PHP والإضافات المستخدمة في التطبيق بانتظام، فمن المحتمل أن يتعرض التطبيق لثغرات أمنية معروفة ويمكن استغلالها.

6- استخدام كود PHP ضعيف

قد يتم استغلال الأخطاء البرمجية في كود PHP ضعيف لتنفيذ أوامر ضارة أو الوصول إلى بيانات حساسة.

لذلك ينبغي تجنب استخدام الكود المصدر المفتوح الذي لم يتم تحديثه لفترة طويلة أو الذي يعاني من ثغرات أمنية معروفة.

7- عدم التحقق من المدخلات

المخترق قادر على استغلال ثغرة  عدم التحقق من المدخلات في تطبيق PHP لتنفيذ أوامر ضارة. كمثال، إذا كان التطبيق يتلقى بيانات المستخدم عبر متغير GET أو POST، يجب التحقق من المدخلات والتأكد من صحتها قبل استخدامها في التطبيق.

8- عدم إعطاء الأذونات المناسبة

يجب منح الأذونات المناسبة لملفات PHP والمجلدات المستخدمة في التطبيق، لتجنب الاستفادة من عدم إعطاء الأذونات المناسبة للملفات لتنفيذ أوامر ضارة.

9- استخدام كلمات مرور ضعيفة

ينبغي استخدام كلمات مرور قوية وتغييرها بانتظام. يمكن للمهاجم استخدام كلمات مرور ضعيفة للوصول إلى النظام أو تعطيل التطبيق.

10- عدم حماية الملفات المهمة

يجب حماية الملفات المهمة في التطبيق بكلمات مرور أو طرق أمنية أخرى، فيمكن الاستفادة من عدم حماية الملفات المهمة للوصول إلى النظام أو تعطيل التطبيق.

11- عدم استخدام الاتصال المشفر

ينبغي استخدام الاتصال المشفر (SSL/TLS) لتأمين الاتصالات بين التطبيق والمستخدمين، فقد يتم الاستفادة من عدم استخدام الاتصال المشفر للحصول على معلومات حساسة.

الأدوات والمكتبات التي يمكن استخدامها للحد من اختراق الكود الخاص بتطبيقات PHP

من أهمها:

1- PHP Security Checker

أداة تساعد على فحص التطبيق للبحث عن الثغرات الأمنية المعروفة.

2- PHP CodeSniffer

أداة تستخدم لفحص الكود بحثاً عن الأخطاء البرمجية والأخطاء الأمنية.

3- Suhosin

مكتبة أمنية تضيف طبقات إضافية من الأمان إلى PHP، وتقوم بحماية السيرفر من الهجمات المختلفة.

4- PHP Data Encryption

مكتبة تستخدم لتشفير البيانات الحساسة التي يتم تبادلها بين التطبيق والمستخدمين.

5- OWASP PHP Security Project

مشروع يوفر مجموعة من الموارد والأدوات لتحسين أمان تطبيقات PHP.

6- PHP Password Hashing

مكتبة تستخدم لتخزين كلمات المرور بشكل آمن، وتستخدم تقنيات التجزئة والتمرير والملح.

7- PHP Firewall

برنامج يستخدم لفرز وتصفية حركة المرور بين التطبيق والمستخدمين، ويمكن استخدامه لمنع الهجمات المختلفة.

8- PHP Secure Communications Library

مكتبة تستخدم لتشفير الاتصالات بين التطبيق والمستخدمين باستخدام SSL/TLS.

بالطبع فإنه من الممكن أن يتعرض كود PHP للاختراق إذا لم يتم كتابته بطريقة آمنة متينة. واضافة الى ما أشار اليه المدربون، فيما يلي بعض الممارسات الأخرى التي تقلل من احتمالية ذلك:

• استخدام بروتوكولات SSL / TLS: لتأمين اتصالات الشبكة، ويتم توفيرها عادة من قبل مزود خدمة الاستضافة.
• استخدام إعدادات php.ini الآمنة: اذ يجب تعيين الإعدادات الأمنية في ملف php.ini للتحكم في سلوك PHP والتحكم في إدارة الأخطاء والتقارير، مثل تخريج الاخطاء وغيرها.
• إخفاء معلومات الاتصال بقاعدة البيانات: اذ يجب إخفاء معلومات الاتصال بقاعدة البيانات في ملفات الكود لعدم إتاحة هذه المعلومات للمهاجمين.
• استخدام اطر العمل التي تهتم بمعالجة مثل هاته الثغرات، من مثل لارافيل و Symfony و codeigniter وغيرهما.
• الاستعانة بمفاهيم البرمجة كائنية التوجه في معالجة البيانات وتخريجها من مثل التغليف encapsulation وما الى ذلك.
• الصيانة الدورية. 
• متابعة سجلات الوصول Access Logs والمستخدمين الجدد قبل منحهم صلاحيات معينة. 
• استعمال مقيدات معدل التراسل Rate limiting، وذلك للحد من هجمات DDos وما الى ذلك.
• الحد من استخدام الوظائف المتخصصة في اللغة من مثل eval و exec وغيرهما، مثل هاته الاوامر تعتبر مكافئات لسطر اوامر.
• الحد من الوصول العام للملفات والمجلدات وادارة الاذونات والصلاحيات عليها.

عمومًا، يمكن اختراق كود PHP و أي لغة برمجة أخري إذا لم يتم كتابته بشكل صحيح وآمن(حتي إذا فعلت ذلك سوف يكون هناك فرصة لوجود ثغرات).  و الاعتماد على الأمان من قبل البرمجة فقط وحده لا يكفي. لذلك، هناك بعض الأدوات والإجراءات التي يجب اتباعها لتعزيز الأمان وتجنب الاختراقات. ، منها:

1- استخدام تحقق المدخلات (input validation): يجب دائمًا التأكد من صحة البيانات التي يتم إدخالها إلى النظام، وتصحيح أي خطأ في البيانات المدخلة. وهذا يمكن تنفيذه باستخدام وظائف PHP المدمجة مثل filter_var وpreg_match.

2- استخدام SQL statements من نوع prepare() و bind_param(): هذا يعتبر ضروريًا لتجنب أي هجوم يستهدف قاعدة البيانات سواء كان SQL Injection او غيره.

3- استخدام الإصدارات الأحدث من PHP والتحديث المستمر لها: يجب تحديث النسخة الحالية من PHP بانتظام لتجنب الثغرات الأمنية وخلل الأمان.

4- عدم استخدام الكود المصدر للمكتبات العالمية (global libraries) القديمة: يمكن استخدام المكتبات الحديثة لتجنب تحديث الثغرات الأمنية بشكل منفصل لكل مكتبة منفصلة. 

5- استخدام HTTPS لتشفير البيانات المنقولة عبر الشبكة: يجب توفير HTTPS في كل مرحلة من مراحل الاتصال بقواعد البيانات أو المستخدمين. يمكن تحقيق ذلك باستخدام شهادات SSL/TLS. 

6- إخفاء الأخطاء: يجب عرض رسائل الخطأ بخطورة ليستأنف الهاكر عملية الاختراق. لذا يجب إخفاء هذه الرسائل من الهاكر وعرض رسائل الخطأ على المستخدم بشكل أساسي ليخبر المستخدم بالمشكلة.

7- المطابقة لمعايير OWASP: OWASP هي آلية تحتوي على جميع المعايير الأمنية لتطبيق الويب، ويجب على المطورين المطابقة لها.

8- تفعيل الحماية على مستوى السيرفر باستخدام برامج مثل mod_security.

9- تطبيق مبادئ البرمجة الآمنة مثل فصل البيانات عن الشفرة وعدم ثقة بمدخلات المستخدم.

10- استخدام إطار عمل PHP مثل Laravel أو Symfony التي تأتي بأساليب حديثة لحماية التطبيق من الهجمات.

11- إجراء فحص دوري للبرامج والسكربتات المستخدمة في الموقع لضمان عدم وجود ثغرات أو ضعف في الأمان.