قائمة OWASP Top 10
تعد قائمة OWASP Top 10 وثيقة توعية قياسية للمطورين ومحترفي الأمن، وتمثل أهم المخاطر الأمنية الحرجة التي تواجه تطبيقات الويب.
A03:2021 - الحقن (Injection)
تحدث ثغرات الحقن (SQL, NoSQL, OS Command, LDAP) عندما يتم إرسال بيانات غير موثوق بها يقدمها المستخدم إلى مفسر كجزء من أمر أو استعلام.
حقن SQL (SQL Injection - SQLi)
- الثغرة: يقوم المهاجم بحقن لغة SQL خبيثة في حقل مدخلات (مثل صندوق تسجيل الدخول) يتم تنفيذها بواسطة قاعدة البيانات الخلفية.
- الأثر: سرقة قاعدة البيانات بالكامل، أو التعديل غير المصرح به، أو تجاوز المصادقة.
مثال لحمولة (Payload) لثغرة SQLi:
sql ' OR 1=1 --
إذا استُخدمت هذه الحمولة في حقل تسجيل دخول، يصبح استعلام قاعدة البيانات:
sql SELECT * FROM users WHERE username='' OR 1=1 --' AND password='...'
بما أن 1=1 دائماً صحيحة، يتم تجاوز فحص المصادقة، مما يسمح للمهاجم بتسجيل الدخول كأول مستخدم (غالباً المسؤول admin).