🔐 اسئله وأجوبة عن الأمن

[asrar-mared]

🔐 اسئله وأجوبة عن الأمن | Security Q&A

🛡️ اسأل أي شيء عن الأمن... نحن هنا للمساعدة! 🛡️

---

🎯 الهدف من هذه المناقشة | Discussion Purpose

💬 مساحة آمنة لطرح أي سؤال أمني!

🤔 اطرح أسئلتك عن:
  - الثغرات الأمنية
  - أفضل الممارسات
  - الأدوات والتقنيات
  - التشفير والحماية
  - الامتثال والمعايير

✅ احصل على:
  - إجابات من الخبراء
  - أمثلة عملية
  - أكواد توضيحية
  - روابط مفيدة
  - نصائح احترافية

🤝 ساعد الآخرين:
  - شارك خبرتك
  - أجب على الأسئلة
  - قدم حلول عملية
  - اربح نقاط وشارات

---

🏆 قواعد المناقشة | Discussion Rules

📜 للحفاظ على بيئة آمنة ومفيدة

✅ المسموح:
  - أي سؤال أمني مشروع
  - مشاركة الخبرات والتجارب
  - أمثلة تعليمية وتوضيحية
  - روابط لموارد موثوقة
  - نقاش بناء واحترافي

❌ الممنوع:
  - مشاركة ثغرات غير مصححة علناً
  - أكواد خبيثة أو Exploits حقيقية
  - طلب أدوات Hacking غير قانونية
  - معلومات قد تضر بالآخرين
  - أي محتوى غير أخلاقي

⚠️ ملاحظة مهمة:
  - إذا اكتشفت ثغرة: استخدم قناة الإبلاغ السرية
  - هذه المناقشة للتعليم فقط
  - نحن لا ندعم أي نشاط غير قانوني

---

🔥 الأسئلة الأكثر شيوعاً | Most Asked Questions

1️⃣ أساسيات الأمن 🛡️

❓ ما الفرق بين التشفير المتماثل وغير المتماثل؟

التشفير المتماثل (Symmetric):

// نفس المفتاح للتشفير وفك التشفير
const crypto = require('crypto');

const algorithm = 'aes-256-cbc';
const key = crypto.randomBytes(32);
const iv = crypto.randomBytes(16);

// التشفير
function encrypt(text) {
  const cipher = crypto.createCipheriv(algorithm, key, iv);
  let encrypted = cipher.update(text, 'utf8', 'hex');
  encrypted += cipher.final('hex');
  return encrypted;
}

// فك التشفير (نفس المفتاح)
function decrypt(encrypted) {
  const decipher = crypto.createDecipheriv(algorithm, key, iv);
  let decrypted = decipher.update(encrypted, 'hex', 'utf8');
  decrypted += decipher.final('utf8');
  return decrypted;
}

التشفير غير المتماثل (Asymmetric):

// مفتاح عام للتشفير + مفتاح خاص لفك التشفير
const { publicKey, privateKey } = crypto.generateKeyPairSync('rsa', {
  modulusLength: 2048,
});

// التشفير بالمفتاح العام
const encrypted = crypto.publicEncrypt(publicKey, Buffer.from('message'));

// فك التشفير بالمفتاح الخاص
const decrypted = crypto.privateDecrypt(privateKey, encrypted);

متى تستخدم أيهما؟

• 🔐 المتماثل: أسرع، للبيانات الكبيرة، عندما يمكن تبادل المفتاح بأمان
• 🔑 غير المتماثل: أبطأ، للاتصالات الآمنة، التوقيع الرقمي

❓ ما هو SQL Injection وكيف أحمي منه؟

ما هو SQL Injection؟

هجوم يستغل إدخال المستخدم لتنفيذ أوامر SQL غير مصرح بها.

❌ كود ضعيف (معرض للخطر):

// خطير! لا تفعل هذا أبداً
app.get('/user', (req, res) => {
  const userId = req.query.id;
  
  // هجوم محتمل: ?id=1 OR 1=1
  const query = `SELECT * FROM users WHERE id = ${userId}`;
  
  db.query(query, (err, results) => {
    res.json(results);
  });
});

✅ كود آمن (محمي):

// آمن: استخدام Parameterized Queries
app.get('/user', (req, res) => {
  const userId = req.query.id;
  
  // المعامل يُعامل كبيانات وليس كود
  const query = 'SELECT * FROM users WHERE id = ?';
  
  db.query(query, [userId], (err, results) => {
    res.json(results);
  });
});

// أو استخدام ORM مثل Sequelize
const user = await User.findByPk(userId);

📋 قواعد الحماية:

1. استخدم Prepared Statements دائماً
2. استخدم ORM (Sequelize, TypeORM)
3. تحقق من صحة المدخلات (Validation)
4. اهرب من الأحرف الخاصة (Escape)
5. قلل صلاحيات قاعدة البيانات
6. استخدم Stored Procedures

❓ ما هو XSS وكيف أتجنبه؟

ما هو XSS (Cross-Site Scripting)؟

إدخال أكواد JavaScript خبيثة في صفحات الويب.

❌ كود معرض للخطر:

<!-- خطير! -->
<div>
  مرحباً <%= username %>
</div>

<!-- إذا كان username = <script>alert('XSS')</script> -->
<!-- سيتم تنفيذ الكود! -->

✅ كود آمن:

// React (يهرب تلقائياً)
function Welcome({ username }) {
  return <div>مرحباً {username}</div>;
}

// Express + EJS (استخدم Escape)
app.get('/profile', (req, res) => {
  res.render('profile', {
    username: escapeHtml(req.user.name)
  });
});

// مكتبة DOMPurify للتنظيف
import DOMPurify from 'dompurify';

const clean = DOMPurify.sanitize(dirtyHTML);

🛡️ أنواع XSS:

1. Stored XSS:
   - يُخزن في قاعدة البيانات
   - الأخطر
   - مثال: تعليقات، منشورات

2. Reflected XSS:
   - يُعكس في الاستجابة
   - عبر URL
   - مثال: رسائل الخطأ

3. DOM-based XSS:
   - يحدث في JavaScript
   - في المتصفح فقط
   - مثال: معالجة DOM مباشرة

✅ الحماية:

// 1. Escape Output
function escapeHtml(text) {
  const map = {
    '&': '&',
    '<': '&lt;',
    '>': '&gt;',
    '"': '&quot;',
    "'": '&#039;'
  };
  return text.replace(/[&<>"']/g, m => map[m]);
}

// 2. Content Security Policy
app.use((req, res, next) => {
  res.setHeader(
    'Content-Security-Policy',
    "default-src 'self'; script-src 'self'"
  );
  next();
});

// 3. HTTPOnly Cookies
res.cookie('token', token, {
  httpOnly: true,
  secure: true,
  sameSite: 'strict'
});

---

2️⃣ المصادقة والتفويض 🔑

❓ ما الفرق بين Authentication و Authorization؟

Authentication (المصادقة) = "من أنت؟" 🆔

// التحقق من الهوية
async function login(username, password) {
  const user = await User.findOne({ username });
  
  if (!user) {
    throw new Error('المستخدم غير موجود');
  }
  
  const isValid = await bcrypt.compare(password, user.passwordHash);
  
  if (!isValid) {
    throw new Error('كلمة المرور خاطئة');
  }
  
  // تم التحقق! هذا هو فلان
  return generateToken(user);
}

Authorization (التفويض) = "ماذا يمكنك أن تفعل؟" 🎫

// التحقق من الصلاحيات
function checkPermission(user, action, resource) {
  // هل يملك المستخدم صلاحية الفعل؟
  if (user.role === 'admin') {
    return true; // الأدمن يفعل كل شيء
  }
  
  if (action === 'read' && resource.isPublic) {
    return true; // الجميع يقرأ العام
  }
  
  if (action === 'write' && resource.ownerId === user.id) {
    return true; // المالك يعدل ملكه
  }
  
  return false; // ممنوع!
}

// استخدام
app.delete('/post/:id', authenticateToken, async (req, res) => {
  const post = await Post.findById(req.params.id);
  
  // Authentication: نعرف من أنت (من الـ token)
  // Authorization: نتحقق هل تستطيع الحذف
  if (!checkPermission(req.user, 'delete', post)) {
    return res.status(403).json({ error: 'غير مصرح' });
  }
  
  await post.delete();
  res.json({ success: true });
});

الفرق ببساطة:

Authentication	Authorization
التحقق من الهوية	التحقق من الصلاحيات
تسجيل الدخول	الأذونات
من أنت؟	ماذا تستطيع؟
Username + Password	Roles & Permissions
يحدث مرة واحدة	يحدث في كل طلب

❓ ما هو JWT وهل هو آمن؟

JWT (JSON Web Token):

// بنية JWT
const jwt = require('jsonwebtoken');

// إنشاء Token
const token = jwt.sign(
  {
    userId: user.id,
    role: user.role,
    // لا تضع معلومات حساسة!
  },
  process.env.JWT_SECRET, // مفتاح سري قوي
  {
    expiresIn: '24h',
    issuer: 'your-app',
    audience: 'your-users'
  }
);

// التحقق من Token
function authenticateToken(req, res, next) {
  const token = req.headers['authorization']?.split(' ')[1];
  
  if (!token) {
    return res.status(401).json({ error: 'Token مطلوب' });
  }
  
  try {
    const decoded = jwt.verify(token, process.env.JWT_SECRET);
    req.user = decoded;
    next();
  } catch (err) {
    return res.status(403).json({ error: 'Token غير صالح' });
  }
}

✅ مميزات JWT:

- Stateless (لا يحتاج قاعدة بيانات)
- قابل للتوسع
- يعمل عبر الـ domains
- معيار صناعي (RFC 7519)

⚠️ مخاطر JWT:

- إذا سُرق: صالح حتى ينتهي
- لا يمكن إلغاؤه بسهولة
- حجمه أكبر من Session ID
- المعلومات فيه مقروءة (Base64)

🛡️ أفضل ممارسات:

// 1. استخدم HTTPS دائماً
// 2. خزن في httpOnly Cookie
res.cookie('token', token, {
  httpOnly: true,
  secure: true,
  sameSite: 'strict',
  maxAge: 24 * 60 * 60 * 1000 // 24 ساعة
});

// 3. استخدم Refresh Tokens
const accessToken = jwt.sign(payload, secret, { expiresIn: '15m' });
const refreshToken = jwt.sign(payload, refreshSecret, { expiresIn: '7d' });

// 4. قائمة سوداء للـ Tokens الملغاة
const blacklist = new Set();

function logout(token) {
  blacklist.add(token);
}

function isBlacklisted(token) {
  return blacklist.has(token);
}

// 5. تدوير المفاتيح (Key Rotation)
// غير JWT_SECRET كل فترة

🆚 JWT vs Sessions:

الميزة	JWT	Sessions
التخزين	Client-side	Server-side
القابلية للتوسع	ممتاز	محدود
الإلغاء	صعب	سهل
الأمان	جيد مع حذر	ممتاز
الحجم	كبير	صغير

---

3️⃣ الثغرات الشائعة 🐛

❓ ما هو CSRF وكيف أحمي منه؟

CSRF (Cross-Site Request Forgery):

هجوم يجبر المستخدم على تنفيذ إجراء غير مرغوب.

❌ سيناريو الهجوم:

<!-- موقع خبيث -->
<img src="https://bank.com/transfer?to=hacker&amount=1000">

<!-- إذا كنت مسجل دخول في bank.com -->
<!-- سيتم تنفيذ التحويل! -->

✅ الحماية بـ CSRF Token:

// Server
const csrf = require('csurf');
const csrfProtection = csrf({ cookie: true });

app.get('/form', csrfProtection, (req, res) => {
  // إرسال Token للنموذج
  res.render('form', {
    csrfToken: req.csrfToken()
  });
});

app.post('/transfer', csrfProtection, (req, res) => {
  // التحقق من Token تلقائياً
  // إذا لم يكن صحيح: 403 Forbidden
  processTransfer(req.body);
  res.json({ success: true });
});

// Client (HTML)
<form method="POST" action="/transfer">
  <input type="hidden" name="_csrf" value="<%= csrfToken %>">
  <input name="amount" type="number">
  <button>تحويل</button>
</form>

// Client (AJAX)
fetch('/transfer', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json',
    'CSRF-Token': csrfToken
  },
  body: JSON.stringify({ amount: 100 })
});

🛡️ طرق حماية أخرى:

// 1. SameSite Cookies
res.cookie('session', sessionId, {
  sameSite: 'strict' // أو 'lax'
});

// 2. التحقق من Origin/Referer
app.use((req, res, next) => {
  const origin = req.get('origin');
  const referer = req.get('referer');
  
  if (!isTrustedOrigin(origin) && !isTrustedReferer(referer)) {
    return res.status(403).json({ error: 'CSRF suspected' });
  }
  
  next();
});

// 3. طلب إعادة المصادقة للعمليات الحساسة
app.post('/delete-account', requireRecentAuth, (req, res) => {
  // التأكد أن المستخدم أعاد إدخال كلمة المرور
  deleteAccount(req.user.id);
});

❓ كيف أخزن كلمات المرور بشكل آمن؟

❌ أبداً لا تفعل هذا:

// خطير جداً!
const user = {
  username: 'ahmed',
  password: '123456' // نص واضح!
};

// خطير أيضاً!
const hashedPassword = md5(password); // MD5 ضعيف ومكسور
const hashedPassword = sha1(password); // SHA1 ضعيف أيضاً

✅ الطريقة الصحيحة - bcrypt:

const bcrypt = require('bcrypt');

// التسجيل
async function registerUser(username, password) {
  // 1. التحقق من قوة كلمة المرور
  if (password.length < 8) {
    throw new Error('كلمة المرور قصيرة جداً');
  }
  
  // 2. Hash مع Salt
  const saltRounds = 12; // كلما زاد كان أبطأ وأأمن
  const passwordHash = await bcrypt.hash(password, saltRounds);
  
  // 3. حفظ Hash فقط (ليس كلمة المرور!)
  const user = await User.create({
    username,
    passwordHash // احفظ هذا فقط
  });
  
  return user;
}

// تسجيل الدخول
async function login(username, password) {
  const user = await User.findOne({ username });
  
  if (!user) {
    // نفس الرسالة لعدم إفشاء معلومات
    throw new Error('اسم المستخدم أو كلمة المرور خاطئة');
  }
  
  // مقارنة آمنة (constant-time)
  const isValid = await bcrypt.compare(password, user.passwordHash);
  
  if (!isValid) {
    throw new Error('اسم المستخدم أو كلمة المرور خاطئة');
  }
  
  return user;
}

🔐 خوارزميات موصى بها:

✅ مفضل:
  - Argon2 (الأفضل حالياً)
  - bcrypt (ممتاز)
  - scrypt (جيد جداً)

⚠️ مقبول لكن قديم:
  - PBKDF2 (مع تكرار عالي)

❌ ممنوع:
  - MD5
  - SHA1
  - SHA256 بدون Salt
  - أي تشفير بدون Salt

📋 أفضل الممارسات:

// 1. متطلبات كلمة مرور قوية
function isStrongPassword(password) {
  return (
    password.length >= 12 &&
    /[A-Z]/.test(password) && // حرف كبير
    /[a-z]/.test(password) && // حرف صغير
    /[0-9]/.test(password) && // رقم
    /[^A-Za-z0-9]/.test(password) // رمز خاص
  );
}

// 2. الحماية من Brute Force
const loginAttempts = new Map();

function checkBruteForce(username) {
  const attempts = loginAttempts.get(username) || 0;
  
  if (attempts >= 5) {
    throw new Error('تم قفل الحساب مؤقتاً. حاول بعد 15 دقيقة');
  }
  
  return attempts;
}

function recordFailedLogin(username) {
  const attempts = loginAttempts.get(username) || 0;
  loginAttempts.set(username, attempts + 1);
  
  // مسح بعد 15 دقيقة
  setTimeout(() => {
    loginAttempts.delete(username);
  }, 15 * 60 * 1000);
}

// 3. إعادة تعيين كلمة المرور بأمان
async function resetPassword(token, newPassword) {
  const resetToken = await ResetToken.findOne({
    token,
    expiresAt: { $gt: new Date() }
  });
  
  if (!resetToken) {
    throw new Error('الرابط منتهي أو غير صالح');
  }
  
  const passwordHash = await bcrypt.hash(newPassword, 12);
  
  await User.updateOne(
    { _id: resetToken.userId },
    { passwordHash }
  );
  
  // حذف جميع tokens القديمة
  await ResetToken.deleteMany({ userId: resetToken.userId });
  
  // إلغاء جميع الجلسات
  await Session.deleteMany({ userId: resetToken.userId });
}

---

4️⃣ HTTPS والشهادات 🔒

❓ لماذا HTTPS مهم؟ وكيف أفعله؟

لماذا HTTPS؟

✅ فوائد HTTPS:
  - تشفير البيانات بين المتصفح والسيرفر
  - منع التنصت (Man-in-the-Middle)
  - التحقق من هوية الموقع
  - تحسين SEO (Google يفضل HTTPS)
  - إلزامي لـ PWA و Service Workers
  - ثقة المستخدمين (القفل الأخضر)

❌ مخاطر HTTP:
  - البيانات نص واضح
  - سهولة التنصت
  - سهولة التعديل (Tampering)
  - تحذيرات المتصفح
  - فقدان ثقة المستخدمين

🔧 كيف تفعّل HTTPS؟

1. الحصول على شهادة SSL (مجاناً من Let's Encrypt):

# تثبيت Certbot
sudo apt install certbot python3-certbot-nginx

# الحصول على الشهادة
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

# تجديد تلقائي
sudo certbot renew --dry-run

2. إعداد Nginx:

server {
    listen 80;
    server_name yourdomain.com;
    
    # إعادة توجيه HTTP → HTTPS
    return 301 https://$server_name$request_uri;
}

server {
    listen 443 ssl http2;
    server_name yourdomain.com;
    
    # شهادات SSL
    ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
    
    # بروتوكولات قوية فقط
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;
    
    # HSTS (إجبار HTTPS)
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    
    location / {
        proxy_pass http://localhost:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

3. في Node.js مباشرة:

const https = require('https');
const fs = require('fs');
const express = require('express');

const app = express();

const options = {
  key: fs.readFileSync('/path/to/private-key.pem'),
  cert: fs.readFileSync('/path/to/certificate.pem')
};

https.createServer(options, app).listen(443, () => {
  console.log('HTTPS Server running on port 443');
});

// إعادة توجيه HTTP → HTTPS
const http = require('http');
http.createServer((req, res) => {
  res.writeHead(301, { Location: `https://${req.headers.host}${req.url}` });
  res.end();
}).listen(80);

---

5️⃣ أدوات وموارد 🛠️

❓ ما أفضل الأدوات لفحص الأمان؟

🔍 أدوات فحص الثغرات:

🌐 للمواقع والويب:
  - OWASP ZAP (مجاني)
  - Burp Suite (مدفوع + مجاني)
  - Nikto (مجاني)
  - Acunetix (مدفوع)
  - Netsparker (مدفوع)

💻 للكود (SAST):
  - SonarQube (مجاني)
  - Snyk (مجاني + مدفوع)
  - Checkmarx (مدفوع)
  - Veracode (مدفوع)
  - npm audit (مجاني)

📦 للتبعيات:
  - npm audit
  - Snyk
  - OWASP Dependency-Check
  - GitHub Dependabot
  - WhiteSource

🔐 للمصادقة:
  - John the Ripper
  - Hydra
  - Hashcat

⚙️ استخدام الأدوات:

# npm audit - فحص التبعيات
npm audit
npm audit fix

# Snyk - فحص شامل
npm install -g snyk
snyk auth
snyk test
snyk monitor

# OWASP ZAP - فحص الويب
# واجهة رسومية أو CLI
zap-cli quick-scan --self-contained http://your-site.com