هل يعقل أن لا يفقه المبرمج شيئا عن الثغرات

أعرف العديد من المبرمجين لا يعرفون شيئا عن الثغرات الأمنية و حتى المعروفة ك: XSS, SQL Injection, CSRF, ...

فقط يبرمجون؟ ما رأيك؟

يرجى الدخول لحسابك أو تسجيل حساب لتستطيع إضافة تعليق
حساب جديد دخول

التعليقات

لماذا لا يتم تعريف انواع الثغرات لتوضيح الامر علي المبرمجين!!

الاغلب يعلم كيف يتفادى الثغرات اذا كان استخدام الاكواد بشكل صحيح وسليم

مثلاً XSS لا تتيح للمستخدم اضافه كود javascript او انبذ اكواد HTML

sql injection لا تطلب id من نوع integer في الاستعلام مباشره وكانه string

لا تدع صفحه تغيير كلمه المرور متاحه من دون شفره تعريفيه للشخص او ربما يتيح البعض نموذج تغيير كلمه المرور مع اضافه id اليوزر وبالتالي يتم استبدال id من خلال النموذج وتغيير كلمه سر اي مستخدم

عزيزي @abdelkbir اتمني توضيح الثغرات وكيف الاستغلال لنتفادى تلك الاخطاء

اسعد الله اوقاتك

تحياتي لك @kuwaitphp .

اعتقد ان ما ينقص هو البحث اما طريقة الاستغلال فتوجد شروحات كثيرة.

مثال:

الثغرة ببساطة خطأ برمجي تجعل الشخص قادر على استخدام هذا الخطأ فيما يريده (حينما يكتشف طبيعته ويفهمه جيدا)، وعادة تحدث عندما يقوم المبرمج ببناء البرنامج مع وضعه لعملية في البرنامج، اما انه لا يفهمها اساس او انه يعرف بحدوث خطأ ما، فيجرب البرنامج...

اذا نجح فهنا يظهر الفرق بين المبرمجين..

فهناك مبرمج سيبحث عن سبب عدم ظهور اي خطأ لانه يعلم ويعرف جيدا ان الامر البرمجي يجب ان يُحدث خطأ سواء أكان مكشوفا اولا.. قد يستغرق وقتا ليعرف طبيعة الخطأ لكن بعد معرفته وفهمه له يجعله لصالحه (بين يديه).. ويبقى له الخيار في تركه او تعديله.

أما الذي لا يهمه سوى عمل البرنامج فانه فقط سيبرمج الى ان يأتي يوما يكتشف ان ما تجاهله من اسطر او حتى كلمة برمجية تحولت الى اوامر غير قادر على التحكم فيها مهما فعل، او انه فات الاوان على التصحيح.. ولن يبقى له خيار سوى تفادي الخطأ من جديد دون فهمه له.

على كل إن لم يعرفو الثغرات الامنية في نظرك مالذي يفعلونه؟؟

ببساطة كل برامجهم تشتغل بمجرد برمجتها من أول مرة، لانهم لم يقعوا في الخطأ بعد(وغالبا نسخ الاكواد، أو ليس باليد حيلة)...

اذا كيف تم اكتشاف الثغرات؟؟ بالخطأ :)

سألت عشرات المبرمجين عن CSRF، لا أحد يعلم عنها شيء، وهذه مصيبة

لربما لانها غير شائعة، ولكن مبرمجي الويب لا يهتمون وهذا خطأ

برأيي انها معرفة ناقصة. ويجب على المبرمج ان يتدارس هذه المفاهيم ويتعود على حلها عمليا.

لماذا يجب على مبرمج ذكاء صناعي ان بفهم بثغرات المواقع ؟

لا يمكن للشخص ان يكون ملم بكل شيء

يجب علي المبرمج معرفه الكود المطبوع وليس المنسوخ ولا علاقه بالذكاء الاصطناعي

من جاب سيرة النسخ ؟

و علاقة الذكاء الصناعي بأنني أذكرك انه يوجد الكثير الكثير من المبرمجين الذي يكون نطاق عملهم خارج ثغرات المواقع

عذراً يا صديقي لم اقصد الاساءه لك

ولكن في الماضيع ومع بدايات 2003 كنت اشاهد البعض ينسخ ويلصق وتتم العمليه .. لا مبالي كيف ومتى ولماذا حدث ذلك ولكن المهم نفذ الامر

علي سبيل المثال فالسابق كان يستخدم التالي

include $_GET['page'];

والاخر يستخدم التالي "select * from post where id = " + $_GET['id']

وهنا يجب علي المبرمج معرفه ما يطبع

يا صديقي ثغرات الsql لا تشمل المواقع فقط

ومع الممارسه سيكتشف الاخطاء وتفاديها مستقبلاً

تحياتي لك

اذا كنت تقصد المبرمجين المبتدئين المتعلمين فهم على الطريق لتعلم هذه الامور و لا يتعلموها بيوم واحد

اما اذا كنت تقصد مبرمجين لعملاء على ارض الواقع يبرمجون مواقع بدون الحماية من ثغرات XSS او SQL Injection فهل تعتقد ان هذا منطقي ؟؟

أنا كذلك أعرف العديد من المبرمجين ليست لديهم أي دراية بعالم الثغرات الأمنية و بتالي عندما سيبرمجون أي شيء سيكون من السهل جدا جدا جدا إختراقه.

أنا شخصا إطلعت على هته الدورة :

أضنها تعطي للشخص نظرة عامة و شمولية على هذا المجال.

هذا واضح وهو بسبب كونهم متعلمين في مدارس حكومية , والتي تدرس بطريقة سطحية حيث تبدوا الوظائف التي تقوم الأكواد البرمجية مطلقة رغم ان التعمق في كيفية عملها يبين انها نسبية ويسهل التفاف الهاكرز حولها حتى لو لم يحدث بها خطأ احيانا , واحيانا اخرى يستطيع تحريضها على الوقوع في خطأ برمجي