أساسيات الأمن وOWASP
مفاهيم الأمن الأساسية
تبدأ كل مقابلة أمنية بالأساسيات. يغطي هذا الدرس المفاهيم الأساسية التي يستخدمها المحاورون لتقييم معرفتك التأسيسية.
ثلاثية CIA
أساس أمن المعلومات:
| المبدأ | التعريف | أمثلة التهديدات |
|---|---|---|
| السرية | الأطراف المصرح لها فقط يمكنها الوصول للبيانات | خروقات البيانات، الكشف غير المصرح به |
| السلامة | البيانات تبقى دقيقة وغير معدّلة | التلاعب، هجمات الرجل في المنتصف |
| التوافر | الأنظمة متاحة عند الحاجة | هجمات DDoS، برامج الفدية |
سؤال المقابلة: "كيف ستضمن CIA لبوابة مرضى الرعاية الصحية؟"
إطار الإجابة القوية:
- السرية: التشفير في الراحة والنقل، RBAC، تسجيل التدقيق
- السلامة: التحقق من المدخلات، المجاميع الاختبارية، التوقيعات الرقمية
- التوافر: التكرار، حماية DDoS، التعافي من الكوارث
المصادقة مقابل التفويض
سؤال مقابلة كلاسيكي يُربك العديد من المرشحين:
| المفهوم | السؤال الذي يجيبه | أمثلة |
|---|---|---|
| المصادقة (AuthN) | "من أنت؟" | كلمات المرور، MFA، القياسات الحيوية |
| التفويض (AuthZ) | "ماذا يمكنك أن تفعل؟" | RBAC، ABAC، ACLs |
# مثال المقابلة: حدد الثغرة
def get_user_data(user_id, request):
# المصادقة: التحقق من تسجيل دخول المستخدم
if not request.user.is_authenticated:
raise AuthenticationError("غير مسجل الدخول")
# خطأ: فحص التفويض مفقود!
# يجب التحقق من request.user.id == user_id
# هذه ثغرة IDOR
return database.get_user(user_id)
الدفاع في العمق
طبقات متعددة من ضوابط الأمان:
┌─────────────────────┐
│ الأمن المادي │
│ ┌───────────────┐ │
│ │ أمان الشبكة │ │
│ │ ┌───────────┐ │ │
│ │ │ المضيف │ │ │
│ │ │ ┌───────┐ │ │ │
│ │ │ │التطبيق│ │ │ │
│ │ │ │┌─────┐│ │ │ │
│ │ │ ││البيانات││ │ │ │
│ │ │ │└─────┘│ │ │ │
│ │ │ └───────┘ │ │ │
│ │ └───────────┘ │ │
│ └───────────────┘ │
└─────────────────────┘
الطبقات:
- المادي: ضوابط الوصول، الشارات، الكاميرات
- الشبكة: جدران الحماية، IDS/IPS، التجزئة
- المضيف: تقوية نظام التشغيل، EDR، إدارة التصحيحات
- التطبيق: التحقق من المدخلات، SAST/DAST، WAF
- البيانات: التشفير، DLP، ضوابط الوصول
مبدأ أقل الصلاحيات
منح الحد الأدنى من الأذونات اللازمة للمهمة.
سيناريو المقابلة: "مطور يحتاج لتصحيح مشاكل الإنتاج. ما الوصول الذي ستمنحه؟"
إجابة ضعيفة: "أعطه وصول المسؤول للإنتاج."
إجابة قوية:
- وصول للقراءة فقط للسجلات والمقاييس
- وصول محدود بالوقت مع سير عمل الموافقة
- لا وصول لـ PII أو الأسرار
- مسار تدقيق كامل للإجراءات
حدود الثقة
حيث تعبر البيانات بين مستويات ثقة مختلفة:
┌──────────────────────────────────────────────────┐
│ الإنترنت │
│ (منطقة غير موثوقة) │
└────────────────────┬─────────────────────────────┘
│ ◀── حد الثقة 1
┌────────────────────▼─────────────────────────────┐
│ DMZ │
│ (منطقة شبه موثوقة) │
│ [موازن التحميل] [WAF] [بوابة API] │
└────────────────────┬─────────────────────────────┘
│ ◀── حد الثقة 2
┌────────────────────▼─────────────────────────────┐
│ الشبكة الداخلية │
│ (منطقة موثوقة) │
│ [خوادم التطبيق] [قواعد البيانات] [الخدمات الداخلية] │
└──────────────────────────────────────────────────┘
نقطة المقابلة الرئيسية: كل عبور لحد الثقة يتطلب التحقق والتنظيف.
نصيحة احترافية: عند سؤالك عن أي تصميم أمني، ابدأ بتحديد حدود الثقة. هذا يُظهر التفكير المنهجي.
في الدرس التالي، سنتعمق في OWASP Top 10 2025—الثغرات التي ستُسأل عنها في كل مقابلة أمنية. :::