الثريد دي هتكلم فيها بشكل عملي عن ازاي تعمل Security Testing لاي ويب ابلكيشن. الموضوع ده مهم جدا حتي لو شغلانتك الاساسية مش Security وانت Developer بتعمل ويب ابلكيشن. الغلطة في مجال السيكيوريتي بفورة خصوصا لو الابلكيشن بيتعامل في فلوس و عالاقل لازم تضمن ان معندكش ثغرات مشهورة.

مبدايا لازم نبدا بالاساس و نقول ان الويب ابلكيشن متقسم لنصين ال Frontend او UI و دي بتعيش في البروازر بتاع اليوزر و Backend موجودة في سيرفر مسؤولة انها تنفذ طلبات اليوزر بتاعك. التواصل بين النصين دول بيتم عن طريق الانترنت من خلال بروتوكولات معروفة اشهرها ال HTTP

ال HTTP مبني علي ال request / response . اليوزر بيدوس علي زرار او بيروح لصفحة بتبعت request بيوصل للسيرفر و السيرفر بيرد عليه ب response. و بالتالي هناك نوعين من الثغرات ثغرات للسيرفر و ثغرات لابلكيشن اليوزر اللي في البرواوزر بتاعه.

ثغرات ال UI و دي انواعها كتير زي ال XSS او ال CSRF و دي ببساطة ممكن تخلي اي Attacker يضحك علي اليوزر و يخليه يعمل حاجة هو مش قصده يعملها. زي ان مثلا اليوزر فاتح ابلكشين البنك بتاعه فانت تضحك عليه و تخليه يبعت فلوس لحد من غير ميعرف. في الحالة دي الابلكيشن شغال بس بشكل خطر.

تاني نوع وهو ثغرات السيرفر و هي مثلا ان المفروض اليوزر يشوف بياناته هو بس بس بسبب غلطة في السيرفر انت تقدر تضحك عالسيرفر وتخليه يبعت حاجات مش المفروض يبعتها زي انك تقدر تلعب في ال query اللي بتتقنفذ عالسيرفر من خلال حاجة زي ال SQL injection او يبقي فيه URL مش مقفول علي اليوزر