- بواسطة x32x01 ||
🧠 جهّز نفسك… دي أساسيات الحماية اللي أي مبرمج لازم يعرفها
إنت كمبرمج لازم تشتغل بعقلية مختلفة 👀
صمّم تطبيقك وكأن مخترق قاعد قدامك وبيقرأ كل سطر كود بتكتبه 🔐
هو بيسأل أسئلة أخطر 👇
أشهر وأخطر أنواع الهجوم:
1️⃣ SQL Injection
2️⃣ XSS - Cross Site Scripting
3️⃣ CSRF - Cross Site Request Forgery
4️⃣ Command Injection
📌 مثال سريع (Django):
أخطاء شائعة جدًا:
Sessions أدمن اتسرقت بسبب XSS بس 😬
عشان كده:
أشهر هجوم: 🧨 Man-in-the-Middle
المهاجم يسمع أو يعدّل الداتا وانت مش واخد بالك.
استخدم SimpleRateThrottle علشان تمنع السبام والهجمات الآلية 🤖
سجّل:
الحل الوحيد:
2️⃣ Phishing
3️⃣ Weak Passwords
4️⃣ Unpatched Software
5️⃣ تسريب API Keys على GitHub 😬
📌 حقيقة: حوالي 80% من اختراقات GitHub سببها مفاتيح اتنشرت بالغلط 🔑
لو فكّرت كده هتكتب كود أنضف وأأمن وتنام مرتاح 😌🔐
إنت كمبرمج لازم تشتغل بعقلية مختلفة 👀
صمّم تطبيقك وكأن مخترق قاعد قدامك وبيقرأ كل سطر كود بتكتبه 🔐
🔥 المخترق بيفكّر في البيانات مش في الكود
المهاجم مش فارق معاه إنت كاتب Python ولا PHP ولا Node ❌هو بيسأل أسئلة أخطر 👇
- البيانات بتتخزن فين؟
- بتمشي إزاي جوه السيستم؟
- مين بيتأكد من صحتها؟
- مين يقدر يوصلها؟
🛡️ قاعدة ذهبية: Never Trust User Input
أي حاجة جاية من المستخدم اعتبرها عدو محتمل ⚠️أشهر وأخطر أنواع الهجوم:
1️⃣ SQL Injection
2️⃣ XSS - Cross Site Scripting
3️⃣ CSRF - Cross Site Request Forgery
4️⃣ Command Injection
📌 مثال سريع (Django):
- ORM بيقلل خطر SQLi
- لازم تستخدم {% csrf_token %} دايمًا
- اعمل Escape لأي Output بيتعرض للمستخدم
🧨 Authentication أخطر نقطة في أي تطبيق
أغلب الاختراقات بتيجي من هنا 👀أخطاء شائعة جدًا:
- كلمات مرور ضعيفة
- مافيش Rate Limit
- تخزين الباسورد نصًّا (كارثة 💣)
- روابط Reset من غير Expiry
- Hashing زي bcrypt أو argon2
- Tokens بوقت انتهاء
- 2FA للتطبيقات الحساسة
🕳️ XSS أخطر مما ناس كتير فاكرة
XSS مش Alert وخلاص ❌ الثغرة دي تقدر:- تسرق Session Cookies
- تنفّذ JavaScript باسم الضحية
- تغيّر واجهة الموقع بالكامل
Sessions أدمن اتسرقت بسبب XSS بس 😬
🔐 Sessions = بوابة الذهب
اللي يسرق Session Cookie يبقى هو أنت 👤عشان كده:
- استخدم HTTPS دايمًا
- فعّل:
- SESSION_COOKIE_SECURE = True
- SESSION_COOKIE_HTTPONLY = True
- قلّل مدة الجلسة للتطبيقات الحساسة
🌐 HTTPS مش رفاهية
أي تطبيق من غير HTTPS مكشوف على أي Wi-Fi عامة 📡أشهر هجوم: 🧨 Man-in-the-Middle
المهاجم يسمع أو يعدّل الداتا وانت مش واخد بالك.
🧱 Firewalls مش للسيرفر بس
حتى أصغر API لازم يكون قدامها:- Rate Limiting
- IP Blocking
- Throttling
استخدم SimpleRateThrottle علشان تمنع السبام والهجمات الآلية 🤖
🔍 سجّل كل حاجة… بس بعقل
الـ Logs أهم سلاح بعد أي اختراق 🧾سجّل:
- فشل تسجيل الدخول
- تغيير كلمة مرور
- إنشاء مستخدم
- استخدام APIs حساسة
- ماتسجلش كلمات مرور
- ولا Tokens كاملة
🧬 Zero-Day حقيقة لازم تتقبلها
أي نظام مهما كان محدث ممكن يكون فيه Zero-Day ⚠️الحل الوحيد:
- Updates باستمرار
- أقل صلاحيات ممكنة
- عزل الخدمات (Isolation)
🧲 أشهر طرق اختراق الشركات دلوقتي
1️⃣ Social Engineering2️⃣ Phishing
3️⃣ Weak Passwords
4️⃣ Unpatched Software
5️⃣ تسريب API Keys على GitHub 😬
📌 حقيقة: حوالي 80% من اختراقات GitHub سببها مفاتيح اتنشرت بالغلط 🔑
🗝️ أهم نصيحة لأي مبرمج
صمّم تطبيقك وكأن مخترقًا أمامك يشاهد كل سطر تكتبه 👁️🗨️لو فكّرت كده هتكتب كود أنضف وأأمن وتنام مرتاح 😌🔐