Owasp Project

في إطار وحدة أمن الويب (OWASP)، عملنا على تحليل أمني شامل لتطبيق ويب ضعيف مُخصص للتدريب: http://testphp.vulnweb.co.... هدف المشروع كان التعرف على أشهر الثغرات الأمنية مثل XSS وSQLi، وتجربة أدوات عملية لاكتشافها واستغلالها.

يتضمن المشروع عدة مراحل:

جمع المعلومات باستخدام أدوات مثل whois، nslookup، WhatWeb، Nmap وNikto لتحديد البنية التحتية والتقنيات المستخدمة.

اختبار الثغرات من نوع XSS (Reflected وStored) وحقن SQL (SQLi) باستخدام أدوات مثل sqlmap مع استخراج قواعد البيانات.

اختبارات أمنية ثابتة (SAST): قمنا بتحليل كود C/C++ باستخدام Flawfinder، وكود Python باستخدام Bandit لاكتشاف الثغرات البرمجية.

اختبارات ديناميكية (DAST): أجرينا تحليلًا باستخدام OWASP ZAP وGobuster لتحديد نقاط الضعف من خلال المحاكاة الواقعية لهجمات المستخدم.

وقد اختتمنا المشروع بتوصيات عملية لتقوية أمان التطبيقات، مثل تفعيل سياسات CSP، تحديث البرمجيات، والتحكم في الوصول للمجلدات والخدمات.