University Publications

مع ازدياد استخدام تطبيقات الويب فى مختلف المجالات ازدادت الحاجة لمعرفة المهددات التى تواجهها من اجل العمل على حمايتها منها وذلك لتصاعد الهجمات التى تستهدفها. وتصنف هجمات تطبيقات الويب الى هجمات تستهدف الخادم وهجمات تستهدف العميل. تهدف الهجمات فى جانب العميل الى سرقة معلومات العملاء والاستفادة منها بواسطة المهاجم فى انشطتهم غير القانونية وغير الاخلاقية وتحدث هذه الهجمات نتيجة لتفاعل العميل مع تطبيق ويب الكترونى يحتوى على ثغرات مما يجعله معرضا للهجمات. تهدف هذه الورقة الى تحليل عدد من الدراسات والاوراق العلمية فى مجال الحماية من الهجمات التى تستهدف العميل وهى: هجوم تهجين الموقع ((XSS) Cross Site Scripting) وهجوم تزوير طلب إجتياز الموقع ((CSRF) Cross-Site Request Forgery) و ضعف التحقق من الهوية وإدارة جلسة الإتصال (Broken Authentication and Session Management) .حيث تمت دراسة (20) ورقة علمية فى الفترة من 2010 وحتى 2020. تم التوصل الى عدد من النتائج من خلال تحليل الاوراق العلمية ومن هذه النتائج ان نسبة كبيرة من الادوات المقترحة يجب تطبيقها فى جانب العميل ويتطلب ذلك استخدام متصفحات خاصة او تنزيل ملحقات معينة للمتصفح مما يعنى تقييد تصفح العميل بهذه الادوات فقط كما ان كما ان استخدام ادوات تعمل فى جانب العميل قد يؤثر على سرعة تصفح العميل للمواقع الالكترونية بالاضافة الى ان الاداة ستوفر حماية للعميل الذى يستخدمها فقط. تم اختبار عدد من الادوات بواسطة مواقع الكترونية (فى بعض الاحيان موقع واحد فقط) تم تطويرها بواسطة مؤلف (مؤلفى) الورقة العلمية. وتم التوصل ايضا الى ان بعض الادوات تستطيع فحص المواقع الالكترونية المكتوبة بلغة واحدة فقط (مثلا لغة جافا Javaاو بى اتش بى PHP). الكلمات المفتاحية : تطبيقات الويب، هجوم تهجين الموقع، هجوم تزوير طلب إجتياز الموقع، هجوم تعطل آلية المصادقة وادارة الجلسة.