شارك هذا المقال:
في عالم البرمجة والتقنيات , أصبح أمر الاختراق شائعا جداً لدرجة مرعبة , ويعد اختراق المواقع الإلكترونية من أكثر أنواع الاختراق شيوعاً مما يضعنا نحن أصحاب المواقع في حالة من التوتر والقلق والاحساس بحالة حرب دائمة مع عدو لا نعرفه فعلاً لكن نعرف تماماً أنه موجود في مكان ما ينتظر الفرصة المناسبة للهجوم , ان الأمر فعلاً ليس جميلاً ولا يمكن النظر اليه بنظرات التراجع أو الخوف , بل يجب النظر اليه بنظرات التحدي و الرغبة في البقاء , نحن كمبرمجين مواقع أو قادة فرق التطوير يقع على عاتقنا مهمة صعبة جداً وهي الحفاظ على نتاج - ربما سنوات من العمل - من الضياع لمجرد هفوة بسيطة لم نكن نتوقع انها ستكتب نهاية وجودنا على شبكة الانترنت.
القاعدة الأساسية لحماية موقعك أن تملك تفكير أمني _ أحمد صبحان , يختصر أحمد في جملته هذه الكثير من الكلام , وما يقصد بتفكير أمني هو ان تفكر بنفس الطريقة التي يفكر بها المخترق , فالمخترق أو ما يسمى بالهاكر لن يخترق موقعك بطرق أخلاقية لكن سيبحث عن نقطة الضعف التي تركتها انت , ربما تركت ملاحظة بجانبها على أن تقوم بحلها الأسبوع القادم ويستغلها لاختراق موقعك , ويمكنني توقع تعبيرات وجهك عند دخولك الى الموقع لتجد أنه لا يعمل لسبب مجهول , صدقني عزيزي لقد جربت هذا الشعور وهو ليس بشعور لطيف أبداً.
اذاً كيف نحمي أنفسنا من الاختراق ؟ اليك هذه القواعد الهامة وبالأصح هذه الأساسات الهامة التي عليك من الآن فصاعداً بناء مواقعك عليها...
كما سبق , عليك أن تملك تفكير أمني لحماية نفسك , وبما أن المخترق بفكر بطريقة اختراق الموقع فربما أول فكرة تأتي الى باله هي المدخلات
يعتبر خطر المدخلات من أسهل الطرق للمخترق للدخول الى موقعك واسقاطه دون أن تشعر , لكن لحسن الحظ فهذه الثغرة ان صحت تسميتها هي أسهل الثغرات لحمايتها
نستعرض في الكود التالي مثال لحماية صالحة وحماية غير صالحة ...
$username = $_POST['username']; //Bad Way Of Getting a Code
$username = clean($_POST['username']); //Good Way , Do it From Now On
كما نلاحظ في الكود السابق , ليس هناك فرق كبير في الكود سوا دالة Clean التي تعمل حرفياً على تنظيف المدخلات من الأكواد الضارة , وطبعاً دالة clean ليست دالة أساسية في لغة php بل هي دالة تم انشائها يدوياً وأرى في ذلك الكثير من النقاط الايجابية ! حيث يمكنك فلترة المدخلات حسب احتياجاتك
هل سبق ودخلت الى موقع وتفاجئت من التصميم الغير متناسق فيه ؟ بعض النصوص بأحجام أكبر حتى من حجم الموقع نفسه ! الموقع بطيئ جداً بشكل غريب ؟ هل يبدو أياً من هذا طبيعياً ؟ بالتأكيد لا , لكن هناك خطأ كارثي في الحماية حصل هنا , وتشترك في هذه المشكلة فلترة المدخلات كما تشترك فيها عرض البيانات .
في هذه الحالة قد يكون استخدام دالة htmlspecialchars هو الحل الأمثل .
نعم , صدق أو لا تصدق لقد سمعت هذه الجملة من المتعصبين للغة جافاسكريبت , طبعاً لا يمكننا انكار قوة هذه اللغة أو حبنا لها , لكن هل فعلاً الاعتماد على فلترة جافاسكريبت للحماية من الاختراق يكفينا ؟ لا أعتقد ذلك ولسبب بسيط جداً , في جميع متصفحات الويب الحديثة يوجد خيار سهل جداً لالغاء تفعيل جافاسكريبت , أما المتصفحات القديمة فهي لا تدعم جافاسكريبت من الأساس :) وفي حال تم ايقاف تفعيل جافاسكريبت في المتصفح , يمكنك القول ان موقعك سيحصل على تذكرة طيران مجانية الى آخر نتيجة في محركات البحث , وسيحصل أيضاً على تأشيرة دخول دائمة الى منطقة انعدام ثقة المستخدمين , ليس رائعاً.
هل يحتوي موقعك على نظام أعضاء ؟ نظام تدوين ربما ؟ اي نظام ادارة محتوى ؟ لا ؟ اذا لم أنت هنا من الاساس ان كان موقعك ليس ديناميكي ؟ اما ان كانت اجابتك نعم , فاليك المشكلة ...
رفع الملفات هو أسهل طريقة لاختراق الموقع وعلى الرغم أن حل هذه المشكلة سهل نوعاً ما الا أنه أكثر تعقيداً من فلترة المدخلات مثلاً , حصل سابقاً عمليات اختراق خطيرة عبر هذه الثغرة , فلا يكفيك فقط التأكد من لاحقة الملف أو حجم الملف , لا يكفي أبداًُ استخدام الدوال الأساسية للحماية من هذه الثغرة , بل عليك هنا استخدام مخيلتك الأمنية لابتكار اساليب حماية جديدة للتأكد من نوع الملف وحجمه وتحديد اسم مناسب له وارساله الى المسار الصحيح على موقعك , وتأكد أن لا يتم عرض هذا المسار للعامة لانك عندما تفعل ذلك , لن تجد نتائج جميلة لهذا التصرف أبداً.
قد يبدو تشبيهاً غريباً , لكن اختيارك للشركة المناسبة لاستضافة موقعك هو تماماً كاختيارك للسيدة/السيد الذي ستكمل/ي حياتك معه , انه حقاً قرار مصيري في حياة موقعك , هل تعتقد أني ابالغ ؟
لقد ثبت فعلاً ان حماية السيرفر هو شيئ لا يقل أهمية عن حماية الموقع نفسه , يعمل السيرفر كمنزل لموقعك , فعند حدوث ضعف في المنزل سيؤثر ذلك بشكل مباشر على موقعك الذي يسكن عملياً في هذا المنزل.
لنأخذ ووردبريس عل سبيل المثال هنا , هي بالفعل من الخدمات القوية والمستقرة جداً والتي تحتوي بطبيعة الحال على اضافات متعددة الخدمات منها للحماية ومنها لتحسين محركات البحث او حتى لاضافة خدمات معينة الى موقعك , يبدو جيداً حتى الآن , لكن أحذرك عزيزي القارئ من التهاون في تحديث أي اضافة أو قالب أو غيره , لا تدع الثقة الزائدة في ووردبريس تتملك منك , فحتى مبرمجو ووردبريس أنفسهم كتبو
نحن على اتفاق تام ان ووردبريس لا يُوفر لك الأمان الكامل لموقعك ، وفي ذات الوقت ووردبريس يمنحك درجات الأمان الأساسية للحماية من الاختراق ، وباقي تفاصيل الأمان تكون من طرفك انت ، لذا احرص دوماً على استخدام قالب آمن ، احذر من القوالب المدفوعة المنتشرة مجانا على الانترنت ، احرص دوماً على استخدام اضافات موثوق بها ، مع ضمان تحديثها باستمرار .
المصدر : https://bit.ly/2Fe05hh
نقر بأن الدورات العربية لا تغطي محتويات الحماية بشكل كافي , نعم ولذلك ولعد عملية بحث طويلة استطعنا الوصول الى هذه الدورة , دورة في حماية سكريبتات php
هذه الدورة مقدمة من مدرسة الزيرو لتعليم تقنيات الويب , وتعتبر بداية جيدة لمن يريد البدء في تعلم أساسيات الحماية .
أما هذه الدورة فيمكن اعتبارها دورة متقدمة ومميزة , للأسف فهي متوفرة فقط باللغة الانكليزية لكن يمكنك من خلالها الحصول على كم هائل من المعلومات القيمة التي تستحق وقتك
https://www.youtube.com/watch?v=29XdrC6wtUg&list=PL7K_NRckWQJY_OzUMfL7QTwo-6PS9UpAs
تعتمد حماية الموقع عليك أنت في البداية و النهاية , لا يوجد اي طريق حول ذلك , نأكد لك أن الأمر ليس بتلك الصعوبة لكن أيضاً ليست بتلك السهولة , ان كنت مالك موقع فعلياً فأنصحك بالتوجه فوراً الى موقعك والتأكد من موقعك ومستوى الحماية فيه وانت كنت مقبل على انشاء موقع فأيضاً أحثك على مراجعة موقعك تماماً قبل اطلاقه , المفارقة العجيبة هي ان أي شخص يدخل موقعك للمرة الأولى خاصة ان كان مبرمج , فأول ما يخطر بباله هو تطبيق ما تعلمه في دورات الاختراق - كما يسميها اصحابها - على موقعك , تأكد أنك مستعد لهذا التحدي...
كما يجب التنويه على أن ما سبق ذكره ربما هو نقطة بسيطة في محيط الحماية , لم نتطرق الى أنواع الهجمات المخصصة ولم نتحدث عن حقن SQL او البرمجة عبر المواقع XSS
