- بواسطة x32x01 ||
عشرين نصيحة لاكتشاف الثغرات الأمنية مع الشرح العملي:
ونترككم أيضاً مع م/ أبراهيم حجازى ليعطينا الخلاصة
- التعرف على أساسيات الأمان: تعلم الأساسيات مثل XSS و SQL Injection لتحديد الثغرات الشائعة.
- استخدام أدوات الفحص: مثل Burp Suite و OWASP ZAP لتحليل التطبيقات واكتشاف الثغرات.
- مراجعة الشيفرة المصدرية: ابحث عن الثغرات في الأكواد مثل المدخلات غير الآمنة.
- تحليل تقنيات المصادقة: تأكد من أن التطبيق يستخدم التشفير القوي و التحقق المزدوج.
- اختبار نقاط الضعف في الجلسات: تحقق من أمان ملفات الكوكيز و جلسات المستخدم.
- البحث عن الثغرات في API: تحقق من إمكانية الوصول غير المصرح به إلى بيانات الـ API.
- مراجعة الإدخالات: تأكد من فحص جميع مدخلات المستخدم للتحقق من صحتها قبل المعالجة.
- التحقق من التوثيق الضعيف: تأكد من أن التطبيق لا يسمح بالوصول إلى حسابات المستخدمين بدون تحقق قوي.
- اختبار التصاريح: تأكد من أن المستخدمين لا يمكنهم الوصول إلى الموارد غير المصرح بها.
- مراجعة التشفير: تحقق من أن جميع البيانات الحساسة مشفرة أثناء النقل والتخزين.
- التحقق من الأذونات الزائدة: تأكد من أن التطبيقات لا تمنح أذونات غير ضرورية.
- البحث عن ملفات تكوين غير آمنة: تأكد من عدم نشر ملفات التكوين مثل config.php أو .env.
- التأكد من حماية الملفات المرفوعة: تحقق من أن الملفات التي يتم تحميلها لا تحتوي على أكواد ضارة.
- التحقق من حماية الإدخالات في النماذج: تأكد من وجود التحقق من الصحة للمدخلات في النماذج.
- تحليل سجلات الأخطاء: افحص سجلات الأخطاء لاكتشاف معلومات حساسة قد تسهل الهجمات.
- اختبار أوقات الاستجابة: اختبار الـ Denial of Service (DoS) للتأكد من قدرة التطبيق على تحمل الهجمات.
- البحث عن الثغرات في الجافا سكربت: فحص أكواد الجافا سكربت للبحث عن ثغرات XSS أو CSRF.
- البحث عن الثغرات في HTTP Headers: تأكد من وجود HSTS و Content Security Policy في الهيدر.
- التعرف على تقنيات الهجوم المتقدمة: تعلم الاختراق الاجتماعي و الهجمات المتقدمة للعثور على الثغرات.
- البحث عن التحديثات الأمنية: تابع التحديثات البرمجية واستخدم أحدث الإصدارات التي تحتوي على تصحيحات الأمان.
ونترككم أيضاً مع م/ أبراهيم حجازى ليعطينا الخلاصة
التعديل الأخير: