شرح ثغرة التحكم في الوصول المعطوب (OWASP A01) — 2026
18 مايو 2001 · بواسطة Pentevo
يحتلّ التحكم في الوصول المعطوب المرتبة الأولى في OWASP Top 10 — فهو أكثر ثغرات الويب الخطيرة شيوعًا. وببساطة: يستطيع المستخدمون فعل أو رؤية أشياء لا ينبغي السماح لهم بها.
الفكرة الجوهرية
تجيب المصادقة عن سؤال «مَن أنت؟» بينما يجيب التفويض عن «ماذا يُسمح لك بفعله؟» والتحكم في الوصول المعطوب هو فشل في التفويض: يتحقق التطبيق ممّن أنت لكنه لا يتحقق مما إذا كنت مخوّلًا لتنفيذ إجراء معيّن أو رؤية مورد معيّن.
الأشكال الشائعة
- IDOR (مرجع كائن مباشر غير آمن) — تغيّر معرّفًا في رابط أو طلب (مثل
/account/123←/account/124) فترى بيانات شخص آخر لأن التطبيق لم يتحقق من الملكية. - تصعيد الصلاحيات (Privilege Escalation) — يصل مستخدم عادي إلى وظائف مخصّصة للمسؤولين فقط (بتخمين رابط إداري أو العبث بمعامل الدور مثلًا).
- غياب الفحوص على مستوى الوظيفة — تُخفي الواجهة إجراءً، لكن الـ API الكامنة تسمح به إذا استدعيته مباشرةً.
- التصفّح القسري (Forced Browsing) — الوصول إلى صفحات أو ملفات ينبغي أن تتطلب إذنًا، بمجرّد معرفة مسارها.
لماذا هو شائع إلى هذا الحد
كثيرًا ما يفرض المطوّرون التحكم في الوصول داخل الواجهة (بإخفاء الأزرار) لكنهم ينسون فرضه على الخادم لكل طلب. والمهاجمون لا يستخدمون واجهتك — بل يستدعون الـ API مباشرةً. وإذا لم يكن التحقق من جانب الخادم فهو ليس تحققًا.
كيف نمنعه
- افرض التفويض على الخادم، لكل طلب — لا تعتمد أبدًا على إخفاء الأشياء في الواجهة.
- امنع افتراضيًا (Deny by Default) — امنح الوصول صراحةً لا ضمنيًا.
- تحقّق من الملكية — تأكّد أن المستخدم المسجّل يملك فعلًا المورد الذي يطلبه (يوقف IDOR).
- استخدم آلية تحكم مركزية في الوصول بدل فحوص متفرقة عشوائية.
- لا تثق بالأدوار/المعرّفات القادمة من العميل — تحقّق منها على الخادم.
- سجّل إخفاقات التحكم في الوصول ونبّه عند ظهور أنماط.
كيف يُكتشف
يفحص المختبِرون بالتلاعب بالمعرّفات والمعاملات واستدعاء النقاط النهائية مباشرةً — وهو تمامًا ما تسهّله أدوات مثل Burp Suite ضمن اختبار اختراق مصرّح به. ولأنه قائم على المنطق، فهو أيضًا مثال ممتاز على المجال الذي يضيف فيه كلٌّ من الاختبار البشري واختبار الذكاء الاصطناعي قيمة.
تعلّم أمن تطبيقات الويب من البداية إلى النهاية، مجانًا، في أكاديمية Pentevo.
الأسئلة الشائعة
ما هو التحكم في الوصول المعطوب؟
التحكم في الوصول المعطوب خللٌ في التفويض: يتحقق التطبيق ممّن أنت لكنه لا يتحقق مما إذا كنت مخوّلًا لتنفيذ إجراء معيّن أو رؤية مورد معيّن. والنتيجة أن المستخدمين يستطيعون فعل أو رؤية أشياء لا ينبغي السماح لهم بها. وهو في المرتبة الأولى ضمن OWASP Top 10.
ما هي ثغرة IDOR؟
تحدث IDOR (مرجع كائن مباشر غير آمن) حين تغيّر معرّفًا في رابط أو طلب — مثل /account/123 إلى /account/124 — فترى بيانات شخص آخر لأن التطبيق لم يتحقق من الملكية. وهي من أكثر أشكال التحكم في الوصول المعطوب شيوعًا.
لماذا ينتشر التحكم في الوصول المعطوب بهذا القدر؟
كثيرًا ما يفرض المطوّرون التحكم في الوصول داخل الواجهة فقط بإخفاء الأزرار، وينسون فرضه على الخادم لكل طلب. والمهاجمون لا يستخدمون واجهتك، بل يستدعون الـ API مباشرةً. وإذا لم يكن التحقق من جانب الخادم فهو ليس تحققًا أصلًا.
كيف نمنع التحكم في الوصول المعطوب؟
افرض التفويض على الخادم لكل طلب، وامنع الوصول افتراضيًا (Deny by Default)، وتحقّق من ملكية كل مورد مطلوب. استخدم آلية تحكم مركزية بدل فحوص متفرقة، ولا تثق بالأدوار أو المعرّفات القادمة من العميل، وسجّل إخفاقات التحكم في الوصول ونبّه عند تكرار الأنماط.
مقالات ذات صلة
شرح الـ VPN: ماذا يفعل (وماذا لا يفعل) — 2026
كيف يعمل الـ VPN فعلًا، ومِمّ يحميك، ومِمّ لا يحميك، وكيف تختار واحدًا — دون مبالغات التسويق.
Fundamentalsما هو اختبار الاختراق؟ دليل المبتدئين (2026)
دليل مبسّط لاختبار الاختراق: ما هو، والمراحل الخمس، وأنواعه الرئيسية، وكيف يختلف عن فحص الثغرات.
Fundamentalsثغرات اليوم صفر: شرح كامل (2026)
ما هي ثغرة اليوم صفر، ولماذا هي بالغة الخطورة، وكيف تُستخدم هجمات اليوم صفر، وما الذي يستطيع المدافعون فعله حيال المجهول.
Fundamentalsما هو الـ CVE؟ فهم معرّفات الثغرات (2026)
ماذا يعني CVE، وكيف يعمل الترقيم، وكيف تساعدك درجة الخطورة CVSS ودرجات EPSS على تحديد الأولويات، وكيف تتابع الثغرات المهمة.
طبّق هذا عمليًا
أكاديمية Pentevo تحوّل هذه المفاهيم إلى دروس موجّهة وفيديوهات واختبارات — مجانًا.
ابدأ التعلّم مجانًا