RedMan blog

من أجل تحقيق الفائدة القصوى للاختبارات الأمنية لتطبيقات الـ AJAX هنالك بعض الامور الاساسية المهمة عن الـ AJAX يجب معرفتها و الإحاطة بها و بالتالي نحقق الوصول الى اختبارات قوية و مهيكلة بشكل صحيح تؤمن بعض النصائح و الأفكار حول كل ما هو مريب و يدعو إلى القلق من الناحية الأمنية .

في البداية … في تطبيقات الـ AJAX هنالك قسمين اساسين يتم العمل بينهما بشكل متناغم، بينما في تطبيقات الـ Web 1.0 هنالك طرف واحد يعمل على ذلك و لم يكن هنالك داع للقلق تجاه الشيفرة البرمجية التي تنفذ في طرف المستخدم حيث ان الشيفرة في ذلك الطرف لا تمتلك اي مخاطر امنية عند تطبيقها في مستعرض الإنترنت، عند اجراء الإختبارات الأمنية كان التركيز الأهم في الإختبارات الأمنية متجهاً نحو المخدم و وظائفه و ما يتم تنفيذه عليه، أما في تطبيقات الـ AJAX هنالك شيفرة برمجية خطرة تعمل في طرف المستخدم يجب الانتباه إليها .

الحقيقة الثانية التي يجب الانتباه إليها أن تطبيقات الـ AJAX تتطلب العديد من الواجهات البرمجية للتطبيقات (API) على المخدم، و ذلك حتى يصل تحميل صفحة الويب إلى الاكتمال الوظيفي و البنيوي، هذه الواجهات البرمجية للتطبيقات (API) تستجيب لطلبات البيانات عبر الـ XML أو الـ JSON التي قامت بطلبها و إرسالها الـ JavaScript من خلال متصفح الويب.
المزيد…

AJAX هي اختصار للكلمات (Asynchronous JavaScript and XML) أي JavaScript و XML غير التزامني. و هي تمثل اساس التقنيات لما يسمى “Web 2.0″ و الفرق بين Web 2.0 و Web 1.0 يكون واضحاً عند مشاهدة التفاعل بين تطبيقات الويب و المستخدم. تطبيقات Web 1.0 تطبيقات بسيطة جداً. إذا نظرت الى تطبيقات Web 1.0 ستشاهد بعض الكتل و الروابط التشعبية و النماذج، تضغط على الروابط لتملئ من ثم النماذج ببعض المعلومات و من ثم تضغط على زر الإرسال، و بذلك ترسل المعلومات التي قمت بإدخالها و من ثم تتلقى الاستجابة و النتيجة.  تطبيقات Web 2.0 هي أكثر تفاعلية لست بحاجة لإعادة تحديث الصفحة او تحميل صفحة جديدة لإنك نقرت على زر ما، بدلاً من ذلك يمكنك طلب طلبات صغيرة و مستقلة و غير متزامنة من المخدم ليتم تحديث جزء من الصفحة دون اعادة تحميلها كاملة. الـ JavaScript تعمل داخل صفحات التطبيق و يمكنها ان تحدد – لإي سبب من الأسباب – انك بحاجة الى بيانات معينة فتطلبها و تعيدها إليك دون ان تنقر نقرة واحدة .

من أكثر الأمثلة شيوعاً في التطبيقات التي تعتمد على الـ AJAX هي مؤشر اسعار سوق الأسهم حيث أنه كل 30 ثانية مثلاً ومن دون ان تقوم بالنقر في اي مكان يتم تحديث جزء الصفحة الخاص بأسعار الاسهم تلقائياً. و في مثال أخر أجندة المواعيد التي تظهر الموعيد استجابة لحركة مؤشر الفأرة فوق تاريخ اليوم بدلاً من النقر عليه، الـJavaScript  تقوم بطلب البيانات التي يحتاجها المستخدم ( جدول المواعيد لذلك اليوم مثلاً ) من المخدم و تقوم باستقبالها و عرضها في نافذة منبثقة صغيرة لا تلبث ان تختفي حين تبتعد الفأرة عن تاريخ ذلك اليوم و هكذا. إن إطلاق معنى عدم التزامن (Asynchronous) غير دقيق في هذا المثال، و لكن من جهة اخرى فأن هذا السلوك لم يقم على طلب صريح (نقرة) من المستخدم و هذا هو معنى كلمة (Asynchronous) ضمن الاختصار AJAX .