انتقل إلى المحتوى
Miraat·dweb developer journey, reflected
IT EN FR عربي
SE

أمن التطبيقات

فكّر كمهاجم لتكتب شيفرة تصمد. ثغرات، تحصين، تدقيق.

18 مهارة 7 أشهر متقدّم
لكي تكتب شيفرة آمنة، عليك أولًا أن تفهم كيف تنكسر الشيفرة. يعلّمك هذا المسار أبرز فئات الثغرات (OWASP Top 10)، ونموذج التهديدات لتطبيقات الويب، وكيف يعمل التحصين والتدقيق والاستجابة للحوادث في الواقع.

هو ليس مسار قرصنة: بل تدريب دفاعي مصمَّم للمطوّرين الذين يريدون تقليل المخاطر في المنتجات التي يطلقونها، ولمن يستعدّ لأدوار AppSec أو فِرق الدفاع.

المسارات المهنية: مهندس أمن تطبيقات، محلّل فريق دفاعي، مطوّر شامل بميل أمنيّ.
نمذجة التهديدات · 25 min FOUNDATION · 25 MIN نمذجة التهديدات OWASP Top 10 بعمق · 30 min FOUNDATION · 30 MIN OWASP Top 10 بعمق حقن SQL — الدفاع · 30 min CORE · 30 MIN حقن SQL — الدفاع الدفاع ضد XSS · 30 min CORE · 30 MIN الدفاع ضد XSS الدفاع ضد CSRF · 25 min CORE · 25 MIN الدفاع ضد CSRF الدفاع ضد SSRF · 25 min ADVANCED · 25 MIN الدفاع ضد SSRF نقاط ضعف المصادقة · 30 min CORE · 30 MIN نقاط ضعف المصادقة إدارة الجلسات · 25 min CORE · 25 MIN إدارة الجلسات فخاخ JWT · 25 min ADVANCED · 25 MIN فخاخ JWT تنفيذ الشيفرة عن بُعد · 30 min ADVANCED · 30 MIN تنفيذ الشيفرة عن بُعد إعداد TLS · 25 min CORE · 25 MIN إعداد TLS ترويسات أمان HTTP · 20 min CORE · 20 MIN ترويسات أمان HTTP إدارة الأسرار · 25 min CORE · 25 MIN إدارة الأسرار أمان التبعيّات · 20 min CORE · 20 MIN أمان التبعيّات فحص الثغرات · 25 min ADVANCED · 25 MIN فحص الثغرات مراجعة الشيفرة أمنيًّا · 30 min ADVANCED · 30 MIN مراجعة الشيفرة أمنيًّا الاستجابة للحوادث · 30 min ADVANCED · 30 MIN الاستجابة للحوادث السجلات لأغراض الأمان · 25 min CORE · 25 MIN السجلات لأغراض الأمان

Foundation

1
نمذجة التهديدات
رسم الأصول والمهاجمين ونقاط الدخول. STRIDE للمهندس العملي.
25 دقيقة
2
OWASP Top 10 بعمق
أكثر عشر فئات شيوعًا للثغرات مع ثغرات CVE حقيقية وإصلاحاتها.
30 دقيقة

Core

3
حقن SQL — الدفاع
لماذا تفوز Prepared Statements دائمًا، أمان ORM، أنماط الحقن العميق.
30 دقيقة
4
الدفاع ضد XSS
تشفير المخرجات، CSP، Trusted Types، التنقية عند الحدود فقط.
30 دقيقة
5
الدفاع ضد CSRF
التوكنات، كوكيز SameSite، Double-Submit، متى يكفي نفس الأصل.
25 دقيقة
7
نقاط ضعف المصادقة
Credential Stuffing، القوة الغاشمة، عيوب إعادة كلمة المرور، تجاوز MFA.
30 دقيقة
8
إدارة الجلسات
سمات الكوكيز، Fixation، Hijacking، التدوير عند تغيّر الصلاحيّات.
25 دقيقة
11
إعداد TLS
مجموعات التشفير، الملفات الحديثة، التجديد التلقائي، HSTS Preload.
25 دقيقة
12
ترويسات أمان HTTP
CSP، X-Frame-Options، Referrer-Policy، Permissions-Policy. مكاسب رخيصة وكبيرة.
20 دقيقة
13
إدارة الأسرار
Vault، KMS، Sealed Secrets. التدوير. لا في Git ولا في ملفات env في الإنتاج.
25 دقيقة
14
أمان التبعيّات
ملفات القفل، Audit، الترقيات الآلية، قواعد ثغرات معروفة.
20 دقيقة
18
السجلات لأغراض الأمان
ماذا تسجّل وماذا لا تسجّل (PII!)، سلاسل لا تُعدَّل، فترات الاحتفاظ.
25 دقيقة

Advanced

6
الدفاع ضد SSRF
تزوير الطلب من جهة الخادم: قوائم بيضاء، حظر IP الميتا، خروج معزول.
25 دقيقة
9
فخاخ JWT
alg=none، Key Confusion، Replay، لماذا تتفوّق التوكنات قصيرة العمر على القوائم السوداء.
25 دقيقة
10
تنفيذ الشيفرة عن بُعد
إلغاء التسلسل غير الآمن، واجهات شبيهة بـeval، حقن الأوامر، سلسلة التوريد.
30 دقيقة
15
فحص الثغرات
SAST، DAST، فاحصات التبعيّات. دمجها مع CI دون إرهاق إنذارات كاذبة.
25 دقيقة
16
مراجعة الشيفرة أمنيًّا
اكتشاف الأخطاء الشائعة في الـPRs: قائمة تفقّد تتجاوز الحدس.
30 دقيقة
17
الاستجابة للحوادث
الكشف والاحتواء والاستئصال والتعافي. التواصل. تشريح ما بعد الحادثة.
30 دقيقة