شرح إخفاقات المصادقة (OWASP A07) — 2026
8 مايو 2001 · بواسطة Pentevo
إخفاقات التعريف والمصادقة (المرتبة السابعة في OWASP Top 10) تغطّي الطرق المتعددة التي يختلّ بها تسجيل الدخول وإدارة الجلسات — فتتيح للمهاجمين انتحال شخصية مستخدمين شرعيين. ولأن المصادقة هي الباب الأمامي، فإن الخطأ فيها كارثي.
الفكرة الجوهرية
المصادقة تثبت من أنت. وإذا أمكن تخمين هذا الإثبات أو سرقته أو تجاوزه أو إعادة استخدامه، يصبح المهاجم أنت — دون حاجة إلى أي استغلال. (ملاحظة: المصادقة هي «من أنت؟»؛ أما التفويض فهو «ماذا يحقّ لك أن تفعل؟» — وذلك هو التحكم المعطوب في الوصول.)
الإخفاقات الشائعة
- سياسات كلمات مرور ضعيفة — السماح بكلمات مرور تافهة أو شائعة.
- حشو بيانات الاعتماد (Credential Stuffing) — يعيد المهاجمون استخدام كلمات مرور تسرّبت في اختراقات أخرى؛ فإن أعاد مستخدموك استخدام كلماتهم، صار الطريق مفتوحًا.
- القوة الغاشمة (Brute Force) — لا يوجد تحديد لمعدّل محاولات تسجيل الدخول.
- غياب المصادقة متعددة العوامل (MFA) — كلمة مرور مسروقة واحدة = وصول كامل.
- سوء إدارة الجلسات — رموز يمكن التنبؤ بها، وجلسات لا تنتهي أبدًا، ورموز مكشوفة في الروابط (URLs).
- استرداد كلمة المرور غير الآمن — عمليات «نسيت كلمة المرور» الضعيفة التي يسهل مهاجمتها أكثر من تسجيل الدخول نفسه.
كيف تمنع ذلك
- افرض المصادقة متعددة العوامل (MFA) — الإجراء الأعلى أثرًا على الإطلاق. حتى كلمة المرور المُصطادة تفشل غالبًا دون العامل الثاني.
- افرض كلمات مرور قوية — الطول أهم من التعقيد؛ واحجب كلمات المرور المعروف تسرّبها.
- حدِّد المعدّل واقفل الحساب — لإيقاف القوة الغاشمة وحشو بيانات الاعتماد.
- أمّن الجلسات — رموز عشوائية وطويلة بما يكفي؛ اجعلها تنتهي؛ استخدم ملفات تعريف ارتباط بخاصيتَي
HttpOnlyوSecure؛ وأعِد توليدها عند تسجيل الدخول. - صلّب عمليات الاسترداد — فهي مسار تجاوز شائع.
- استخدم مصادقة مُثبَتة — أطر عمل ومزوّدون (OAuth/OIDC) بدلًا من كود تسجيل دخول محلي الصنع.
لماذا المصادقة متعددة العوامل هي العنوان الأبرز
معظم عمليات الاستيلاء على الحسابات تعود إلى كلمات المرور — بالتخمين أو إعادة الاستخدام أو التصيّد. المصادقة متعددة العوامل تكسر هذه السلسلة. إن فعلت شيئًا واحدًا، فَفعِّل MFA في كل مكان.
كيف تُكتشف
يفحص المختبِرون وجود سياسات ضعيفة، وغياب تحديد المعدّل، وجلسات يمكن التنبؤ بها، واسترداد قابل للتجاوز — ضمن اختبار اختراق مُصرّح به. وهذه مشكلات منطق وإعداد، لذا يفيد فيها الاختبار البشري والاختبار المدعوم بالذكاء الاصطناعي معًا.
ذات صلة: الإخفاقات التشفيرية (كيف ينبغي تخزين كلمات المرور). تعلّم أمان المصادقة مجانًا في أكاديمية Pentevo.
الأسئلة الشائعة
ما هي إخفاقات المصادقة؟
إخفاقات المصادقة تشمل الطرق المتعددة التي يختلّ بها تسجيل الدخول وإدارة الجلسات، فتتيح للمهاجم انتحال شخصية مستخدم شرعي. من أمثلتها كلمات المرور الضعيفة، وغياب المصادقة متعددة العوامل (MFA)، وحشو بيانات الاعتماد، والجلسات سيئة الإدارة. ولأن المصادقة هي الباب الأمامي، فإن الخطأ فيها كارثي.
ما الفرق بين المصادقة والتفويض؟
المصادقة تجيب عن سؤال «من أنت؟» وتثبت هويتك، بينما التفويض يجيب عن «ماذا يحقّ لك أن تفعل؟» وينظّم صلاحياتك. أخطاء التفويض تقع ضمن فئة منفصلة هي التحكم المعطوب في الوصول (Broken Access Control).
لماذا تُعدّ المصادقة متعددة العوامل أهم إجراء؟
معظم عمليات الاستيلاء على الحسابات ترجع إلى كلمات المرور — سواء بالتخمين أو إعادة الاستخدام أو التصيّد. المصادقة متعددة العوامل تكسر هذه السلسلة لأن كلمة المرور المسروقة تصبح غالبًا عديمة الجدوى دون العامل الثاني. إن فعلت شيئًا واحدًا فقط، فَفعِّل MFA في كل مكان.
كيف تُكتشف إخفاقات المصادقة؟
يفحص المختبِرون ضمن اختبار اختراق مُصرّح به وجود سياسات كلمات مرور ضعيفة، وغياب تحديد معدّل المحاولات، وجلسات يمكن التنبؤ بها، وعمليات استرداد قابلة للتجاوز. ولأنها مشكلات منطق وإعداد، يفيد فيها الاختبار البشري والاختبار المدعوم بالذكاء الاصطناعي معًا.
مقالات ذات صلة
شرح الـ VPN: ماذا يفعل (وماذا لا يفعل) — 2026
كيف يعمل الـ VPN فعلًا، ومِمّ يحميك، ومِمّ لا يحميك، وكيف تختار واحدًا — دون مبالغات التسويق.
Fundamentalsما هو اختبار الاختراق؟ دليل المبتدئين (2026)
دليل مبسّط لاختبار الاختراق: ما هو، والمراحل الخمس، وأنواعه الرئيسية، وكيف يختلف عن فحص الثغرات.
Fundamentalsثغرات اليوم صفر: شرح كامل (2026)
ما هي ثغرة اليوم صفر، ولماذا هي بالغة الخطورة، وكيف تُستخدم هجمات اليوم صفر، وما الذي يستطيع المدافعون فعله حيال المجهول.
Fundamentalsما هو الـ CVE؟ فهم معرّفات الثغرات (2026)
ماذا يعني CVE، وكيف يعمل الترقيم، وكيف تساعدك درجة الخطورة CVSS ودرجات EPSS على تحديد الأولويات، وكيف تتابع الثغرات المهمة.
طبّق هذا عمليًا
أكاديمية Pentevo تحوّل هذه المفاهيم إلى دروس موجّهة وفيديوهات واختبارات — مجانًا.
ابدأ التعلّم مجانًا