للاسف هذه المدونة اصبحت ارشيف فقط، لمتابعة جديد مقالاتي يرجى زيارة موقعي الشخصي BassamShhadat.com

الإختبارات الأمنية لتطبيقات الـ AJAX

من أجل تحقيق الفائدة القصوى للاختبارات الأمنية لتطبيقات الـ AJAX هنالك بعض الامور الاساسية المهمة عن الـ AJAX يجب معرفتها و الإحاطة بها و بالتالي نحقق الوصول الى اختبارات قوية و مهيكلة بشكل صحيح تؤمن بعض النصائح و الأفكار حول كل ما هو مريب و يدعو إلى القلق من الناحية الأمنية .

في البداية … في تطبيقات الـ AJAX هنالك قسمين اساسين يتم العمل بينهما بشكل متناغم، بينما في تطبيقات الـ Web 1.0 هنالك طرف واحد يعمل على ذلك Ùˆ لم يكن هنالك داع للقلق تجاه الشيفرة البرمجية التي تنفذ في طرف المستخدم حيث ان الشيفرة في ذلك الطرف لا تمتلك اي مخاطر امنية عند تطبيقها في مستعرض الإنترنت، عند اجراء الإختبارات الأمنية كان التركيز الأهم في الإختبارات الأمنية متجهاً نحو المخدم Ùˆ وظائفه Ùˆ ما يتم تنفيذه عليه، أما في تطبيقات الـ AJAX هنالك شيفرة برمجية خطرة تعمل في طرف المستخدم يجب الانتباه إليها .

الحقيقة الثانية التي يجب الانتباه إليها أن تطبيقات الـ AJAX تتطلب العديد من الواجهات البرمجية للتطبيقات (API) على المخدم، و ذلك حتى يصل تحميل صفحة الويب إلى الاكتمال الوظيفي و البنيوي، هذه الواجهات البرمجية للتطبيقات (API) تستجيب لطلبات البيانات عبر الـ XML أو الـ JSON التي قامت بطلبها و إرسالها الـ JavaScript من خلال متصفح الويب.

الواجهات البرمجية للتطبيقات ( API – Application Programming Interface ) :
هي الواجهة Ùˆ النافذة في البرامج الحاسوبية التي تمكن هذه البرامج من التفاعل مع البرامج الأخرى على غرار واجهات المستخدم ( النوافذ Ùˆ الأزرار … ) في أنظمة التشغيل التي تؤمن التفاعل بين البشر Ùˆ أجهزة الحاسوب، الواجهات البرمجية يمكن أن توجد في التطبيقات Ùˆ المكتبات البرمجية Ùˆ أنظمة التشغيل، كل واجهة لديها صيغة معينة يتم طلبها من قبل المبرمج ليتمكن من الاستفادة من الخدمة، هذه الصيغة تحتوي على بيانات Ùˆ متحولات معينة بالإضافة إلى تعين طبقات Ùˆ بروتوكولات معينة للاتصال بين المستخدم Ùˆ الواجهة البرمجية .

في السابق كان من الممكن تفحص Ùˆ مسح تطبيقات الإنترنت Ùˆ اكتشاف جميع صفحاتها من نوع ( JSPs – java server pages ) أو نوع ( ASPs – Active Server Pages ) أو جميع أنواع الصفحات الشائعة، Ùˆ كان ذلك يؤكد لنا Ùˆ بثقة كبيرة أننا نعرف جميع نقاط الدخول Ùˆ الإدخال في التطبيق، بينما في تطبيقات الـ AJAX نحن بحاجة إلى معرفة جميع الواجهات البرمجية (API) التي قامت عناصر تطبيق الـ AJAX بطلبها Ùˆ التعامل معها، Ùˆ هذه الواجهات البرمجية لن تكون ظاهرة بشكل واضح لمستعرض موقع الويب، لاحقاً ممكن ان نتكلم طريقة بسيطة لمراقبة Ùˆ متابعة هذه الواجهات البرمجية (API) الخفية .

أخيراً، يجب أن ندرك أن الفشل و المشاكل الأمنية يمكن أن تحدث من كلا الطرفين طرف العميل المستعرض لتطبيق الويب و طرف الخادم و الملقم، حيث يمكن للعميل أن يرسل بيانات خبيثة و ضارة إلى الخادم و يمكن للخادم أن يرسل بيانات خبيثة إلى العميل أيضاً، و أي من الحالتين يمكن أن يتسبب في مشكلة أمنية خطيرة تجاه الطرف الأخر.



اضف تعليق