📚 محتوى تعليمي دفاعي: فهم الثغرات لإغلاقها.
ما هو OWASP؟
منظّمة تنشر قائمة أخطر 10 ثغرات في تطبيقات الويب — مرجع كل مطوّر للحماية.
أبرز الفئات (والدفاع)
| الثغرة | الدفاع |
|---|---|
| التحكّم بالوصول المعطوب | تحقّق الصلاحيات على الخادم |
| فشل التشفير | HTTPS، تشفير البيانات الحسّاسة |
| الحقن (Injection) | استعلامات معاملية، التحقّق من المدخلات |
| التصميم غير الآمن | نمذجة التهديدات مبكّرًا |
| سوء الإعداد الأمني | إعدادات إنتاج آمنة، إخفاء الأخطاء |
| مكوّنات قديمة | حدّث الاعتماديات باستمرار |
| فشل المصادقة | 2FA، إدارة جلسات آمنة |
المبادئ المشتركة
- لا تثق بالمدخلات — تحقّق وطهّر كل ما يأتي من المستخدم.
- أقلّ صلاحية — امنح أقلّ وصول لازم.
- دفاع متعدّد الطبقات.
- حدّث باستمرار.
- سجّل وراقب.
أدوات
- فحص الاعتماديات (
npm audit). - ماسحات الأمان (OWASP ZAP).
💡 الدروس التالية تتناول أشهر الثغرات (الحقن، XSS، CSRF) بالتفصيل الدفاعي.
🎯 التالي: الحماية من حقن SQL.