الوحدة 6: أمن تطبيقات الويب والشبكات اللاسلكية

تعد تطبيقات الويب (المواقع، والواجهات البرمجية APIs، وخدمات الويب) أسطح هجوم حيوية لأنها متاحة مباشرة من الإنترنت وتتعامل مع مدخلات المستخدمين.

مراجعة بنية الويب

تتبع معظم تطبيقات الويب بنية ثلاثية الطبقات:

1. طبقة العرض (Presentation Tier): واجهة المستخدم (HTML, CSS, JavaScript).
2. طبقة التطبيق (Application Tier): المنطق البرمجي من جهة الخادم (PHP, Python, Java, Node.js) الذي يعالج المدخلات.
3. طبقة البيانات (Data Tier): قاعدة البيانات الخلفية (MySQL, PostgreSQL) التي تخزن المعلومات.

مفهوم أمني رئيسي: حدود الثقة (Trust Boundary)

لا تثق أبداً في أي مدخلات يتم استقبالها من العميل (طبقة العرض). يجب معاملة جميع البيانات القادمة من متصفح المستخدم على أنها عدائية ويجب التحقق منها، وتطهيرها (sanitize)، وتمييزها (escape) على الخادم (طبقة التطبيق) قبل معالجتها أو إدخالها في قاعدة البيانات.