OWASP Top 10 هو المعيار الأكثر اعترافًا على نطاق واسع لمخاطر أمن تطبيقات الويب. سواء كنت مطورًا أو مهندس أمن أو قائد أعمال — يشرح هذا الدليل كل فئة مع أمثلة من الواقع، تقنيات الكشف، واستراتيجيات المعالجة.
وثيقة توعية يتم تحديثها دوريًا تصنف أخطر مخاطر الأمن لتطبيقات الويب. بناءً على تحليل البيانات من مئات المؤسسات، استطلاعات المجتمع، وبيانات الاختراق الفعلية. مُشار إليه من قبل PCI DSS وDORA وNIS2 والعديد من معايير الصناعة.
الثغرة الأكثر شيوعًا رقم 1 — موجودة في 94% من التطبيقات المختبرة.
/api/users/123/profile إلى /api/users/124/profile/admin/dashboardكانت سابقًا "تعرض البيانات الحساسة" — تمت إعادة التسمية للتركيز على السبب الجذري.
فرض HTTPS في كل مكان مع HSTS. استخدم AES-256، bcrypt/Argon2، SHA-256+. لا تقم أبدًا بتشفير الأسرار — استخدم Vault أو AWS Secrets Manager. تشفير البيانات في وضع الراحة. تعطيل TLS 1.0/1.1.
الثغرة الكلاسيكية على الويب — لا تزال في أعلى 3 بعد عقدين من الزمن.
' OR 1=1 -- وهجمات أكثر تطورًا بكثيراستعلامات بارامترية لجميع تفاعلات قاعدة البيانات. التحقق من صحة الإدخال مع قوائم السماح. ترميز الإخراج للسياق. رؤوس سياسة أمان المحتوى. حسابات قاعدة بيانات بأقل امتياز. استخدم ORMs باستمرار.
فئة جديدة — عيوب على مستوى التصميم، ليست أخطاء تطبيق.
الإصلاح: دمج نمذجة التهديدات (STRIDE، PASTA) في مرحلة التصميم. استخدام أنماط تصميم آمنة. كتابة حالات سوء الاستخدام جنبًا إلى جنب مع حالات الاستخدام.
موجود في 90% من التطبيقات المختبرة.
عملية تقسية قابلة للتكرار. إزالة جميع الميزات غير الضرورية. تطبيق جميع رؤوس الأمان. أتمتة إدارة التكوين بـ IaC. عمليات تدقيق تكوين منتظمة. استخدام CSPM للسحابة.
الإصلاح: الحفاظ على جرد المكونات (SBOM). مراقبة مستمرة لقواعد بيانات CVE. إزالة التبعيات غير المستخدمة. أتمتة التحديثات بـ Dependabot/Renovate.
تطبيق MFA. فرض كلمات مرور قوية مع فحص قاعدة بيانات الاختراق. تحديد المعدل على نقاط نهاية المصادقة. إدارة جلسات آمنة (معرفات عشوائية، إشارات HTTPOnly/Secure). إبطال الجلسات عند تسجيل الخروج/تغيير كلمة المرور.
الإصلاح: التوقيعات الرقمية على جميع البرامج/البيانات. سلامة الموارد الفرعية (SRI) للموارد الخارجية. CI/CD آمن مع ضوابط الوصول والتوقيع. تجنب إزالة التسلسل غير الآمن — استخدم JSON.
متوسط الوقت لتحديد الاختراق: 204 يومًا (IBM 2024). بدون تسجيل كافٍ، يمكن للمهاجمين إنشاء الثبات، تصدير البيانات، وتوسيع موطئ قدمهم — كل ذلك دون تشغيل إنذارات.
الإصلاح: تسجيل جميع أحداث المصادقة، فشل التحكم بالوصول، وفشل التحقق من صحة الإدخال. تضمين السياق (الطابع الزمني، المستخدم، IP، الإجراء). مركزة السجلات في SIEM مقاوم للتلاعب. تطبيق تنبيه آلي. اختبار قدرات الكشف بانتظام.
فئة جديدة — أضيفت بسبب الانتشار المتزايد في البنى السحابية الأصلية.
http://169.254.169.254/ لبيانات اعتماد IAMالتحقق من صحة جميع عناوين URL المقدمة من المستخدم من جانب الخادم. استخدام قوائم السماح للنطاقات المسموح بها. حظر نطاقات IP الخاصة (10.x، 172.16.x، 169.254.x، 127.x). تعطيل مخططات URL غير الضرورية (file://، gopher://). استخدام IMDSv2 على AWS. تقسيم خدمات جلب URL.
| فئة OWASP | تغطية KENSAI |
|---|---|
| A01 التحكم بالوصول المكسور | اختبار IDOR، تجاوز التفويض، فحوصات CORS |
| A02 فشل التشفير | تحليل TLS، فحوصات الرأس، التحقق من التشفير |
| A03 الحقن | SQL، XSS، حقن الأوامر، SSTI، حقن الرأس |
| A04 تصميم غير آمن | تحديد المعدل، موارد قابلة للتنبؤ، اختبار المنطق |
| A05 تكوين أمني خاطئ | الرؤوس، الافتراضيات، الكشف عن المعلومات، طرق HTTP |
| A06 مكونات ضعيفة | بصمة التقنية، قاعدة بيانات أكثر من 332 ألف CVE |
| A07 فشل المصادقة | بيانات اعتماد افتراضية، اختبار الجلسة، تحليل ملفات تعريف الارتباط |
| A08 فشل السلامة | فحوصات SRI، اختبار إزالة التسلسل |
| A09 فشل التسجيل | تحليل رأس الأمان، مراجعة معالجة الأخطاء |
| A10 SSRF | حقن نقطة نهاية داخلية، اختبار بيانات تعريف السحابة |
فحص مجاني — لا التزام، لا يلزم بطاقة ائتمان. DAST مدعوم بالذكاء الاصطناعي مع تقارير جاهزة للامتثال.
ابدأ الفحص المجاني ←التحكم بالوصول المكسور (A01) — موجودة في 94% من التطبيقات المختبرة. انتقلت من المركز 5 إلى المركز 1، مما يعكس فشلًا واسع النطاق في فرض التفويض، خاصة في واجهات برمجة التطبيقات وتطبيقات SPA.
OWASP Top 10 نفسه اختياري. ومع ذلك، تشير إليه PCI DSS (يتطلب معالجة OWASP Top 10)، NIS2 (تتوقع إدارة منهجية للثغرات)، DORA (تشير إلى اختبارات معايير الصناعة)، والعديد من تقييمات البائعين. في الممارسة العملية، إنه إلزامي فعليًا.
أدوات DAST الآلية تكتشف بفعالية معظم الفئات — خاصة الحقن (A03)، فشل التشفير (A02)، التكوين الخاطئ (A05)، والمكونات الضعيفة (A06). بعض الفئات مثل التصميم غير الآمن (A04) وفشل التسجيل (A09) غالبًا ما تتطلب تقييمًا يدويًا. استخدم الفحص الآلي للاتساع + الاختبار اليدوي للعمق.
كل 3–4 سنوات. الإصدارات الرئيسية: 2013، 2017، 2021. كل تحديث يعكس تحولات مشهد التهديدات — أدخل تحديث 2021 التصميم غير الآمن (A04) وSSRF (A10) مع إعادة تنظيم آخرين.
الأمان ليس اختياريًا.
🗡️ فريق KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →