ماهو الموقع الالكتروني Web Application؟

#الامن_السيبراني ماهى لغات البرمجة المستخدمه في انشاء المواقع الالكترونيه؟ ماهو الـ Architecture الخاص بالـ Web Application؟ ماهي Web Application Threats؟ ماهو الخطوات المتبعه الخاصة بالـ Web Application Hacking؟ في هذه السلسه سنجيب عنها👍

فى البدايه ماهو الموقع الالكتروني Web Application؟ هو تطبيق يمكن الوصول إليه واستخدامه من خلال متصفح الويب، أو عبر شبكة الإنترنت وتبرمج تطبيقات الويب بواسطة لغات برمجة معينه

ماهى لغات البرمجة المستخدمه فى انشاء المواقع الالكترونيه؟ يوجد الكثير والكثير من لغات البرمجه التي تستطيع من خلالها برمجه تطبيقات الويب مثل PHP , Java Script , Java , Python , Ruby, C#

ما هو الـ Architecture الخاص بالـ Web Application؟ يوجد نوعين من الـ Architecture الخاص بالـ Web Servers والذى بدوره يستضيف الـ Web Application: 1- IIS Architecture 2- Open Source Architecture

الاول : استخدام الـ IIS Architecture وبذلك يتم استخدام البنيه التحتيه الخاصة بالـ Windows كنظام تشغيل وفى الـ DB Backend تكون مبنيه على احد منتجات Micosoft وهى MS SQLServer و تربط بالـ

Build web apps and services that run on Windows, Linux, and macOS using using C#, HTML, CSS, and Jav

http://ASP.net

الثانى : استخدام الـ Open Source Architecture وبذلك يتم استخدام برامج المصادر المفتوحه للتشغيل مثل الـ Apache و يتم استخدام الـ DB مثل Mysql و يكون ربط الـ Web Application عن طريق الـ PHP

ما هي Web Application Threats ؟ يصدر سنويا عن طريق مؤسسة

OWASP Foundation, the Open Source Foundation for Application Security on the main website for The OW

https://owasp.org

تقرير شامل يتحدث عن كل التهديدات الامنيه WEB Application threats و تصنيفها طبقا للاكثر شيوعا واستخداما

وترتيبها طبقا للـ Top 10: A1: Injection بكل انواعه و اشهرهم الـ SQl injection ولكن يوجد ايضا الـ Command Injection والـ LDAP Injection A2: Broken Authentication A3: Sensitive Data Exposure A4: XML External Entity (XXE) A5: Broken Access Control A6: Security Misconfiguration

A7: Cross Site Scripting A8:Insecure Deserialization A9:Using Components With Known Vulnerabilities A10:insufficient Logging and Monitoring

ويوجد العديد الـ Threats الاخرى مثل: Directory Traversal , Denial of Services , Cookie Snopping , Capthca Attacks , Cross Site Request Forgery ,

ما هو الخطوات المتبعه بالـ Web Application Hacking ؟ نتحدث عن الـ Hacking بانواعه سواء Black Hat hacking وهو غير المصرح له او الـ Penetration Testing ولكن فى النهاية الخطوات متشابهه ولكن الغير مصرح يعتمد بشكل كبير على الـ Anti-Forensics Tools and Techniques حتى لا يتم الكشف عنه

الخطوات تتمثل فى محاولة الكشف عن الـ Vulnerabilities الخاصة بهذا الموقع بشكل كامل و استغلالها : 1- Web Application Foot Printing and Scanning : اسخلاص كافة المعلومات عن الموقع و ايضا اكتشاف كافة المعلومات الـ Service و Server Discovery

و قد يصل الامر الى إكتشاف الحماية الخاصة للموقع مثل وجود WAF او لا وايضاً الـ Content Discovery الادوات المستخدمه : NMAP و WAFW00F و Burp Suite و WPscan و W3af

2- تعريف Vulnerabilities الخاصة بالموقع و كيفيه استغلالها وهنا يبرز الـ Scanner الخاصة بالـ Web Application مثل Acunetix , BurpSuite , OWASP ZAP , NETSparker , Appscan ,Nikto , nessus

3- الاستغلال Exploitation وهنا بعد فترة الاكتشاف يبدا الاتجاه الى اتخاذ مسار الـ Attack ويمكن اتخاذه على مستوى اكثر من مسار: Bybass Client Side Controls Authentication Mechanism Authorization Schemes وغيرها ويبرز هنا قدرات الـ Penetration tester في كيفية اسغلال المعلومات السابقه

هناك العديد من Frameworks و الـ Tools التى تساعد فى ذلك مثل ال Metaspliot , powerSpliot ,BeEF ,Webspliot , وفي النهايه يوجد الكثير والكثير من الاساليب في اختبار اختراق تطبيقات الويب تجدها ع اليوتيوب او عند المهتمين بالامن السيبراني .

بقلم :

الاخ khaliidvip