شرح الإخفاقات التشفيرية (OWASP A02) — 2026
10 مايو 2001 · بواسطة Pentevo
الإخفاقات التشفيرية (المرتبة الثانية في OWASP Top 10) تحدث حين لا تُحمى البيانات الحساسة بشكل صحيح — لأن التشفير كان غائبًا أو ضعيفًا أو مُستخدَمًا بشكل خاطئ. والنتيجة كشف كلمات المرور أو بيانات الدفع أو المعلومات الشخصية، وغالبًا ما يؤدي ذلك إلى اختراق للبيانات.
الفكرة الجوهرية
يجب حماية البيانات الحساسة أثناء النقل (عند انتقالها عبر الشبكات) وفي حالة السكون (عند تخزينها) معًا. والإخفاق التشفيري هو أي ثغرة في هذه الحماية — والتشفير لا يرحم: فالأخطاء الصغيرة تسبّب إخفاقات تامة.
الإخفاقات الشائعة
- غياب التشفير أثناء النقل — إرسال البيانات الحساسة عبر HTTP عادي بدلًا من HTTPS.
- خوارزميات ضعيفة أو قديمة — استخدام تجزئات مكسورة (MD5، SHA-1) أو إصدارات TLS قديمة.
- تخزين سيئ لكلمات المرور — تخزينها كنص صريح، أو تجزئتها دون ملح ودون خوارزمية بطيئة.
- أسرار مضمّنة أو مكشوفة — مفاتيح وبيانات اعتماد داخل الكود المصدري أو المستودعات.
- إدارة سيئة للمفاتيح — مفاتيح ضعيفة أو مُعاد استخدامها أو مخزّنة بشكل رديء.
- تطوير تشفيرك الخاص — خطأ في الغالب الأعم.
كيف تفعل ذلك بشكل صحيح
- شفّر أثناء النقل — TLS في كل مكان، وبالإصدارات الحديثة فقط.
- شفّر البيانات الحساسة في حالة السكون — وأدِر المفاتيح بشكل سليم (استخدم KMS أو مدير أسرار).
- جزّئ كلمات المرور بشكل صحيح — استخدم خوارزمية قوية وبطيئة ومملّحة (bcrypt أو scrypt أو Argon2). لا تجزئات بسيطة أبدًا.
- استخدم مكتبات مُدقَّقة — لا تبتكر خوارزميات أو بروتوكولات خاصة بك.
- لا تخزّن ما لا تحتاجه — أكثر البيانات أمانًا هي التي لم تجمعها أصلًا.
- أبقِ الأسرار خارج الكود — استخدم متغيّرات البيئة أو مديري الأسرار، ولا تودِع المفاتيح أبدًا في المستودع.
لماذا يهمّ هذا
حين يفشل هذا، يكون الضرر مباشرًا: يمضي المهاجمون ببيانات اعتماد ومعلومات شخصية قابلة للقراءة. التشفير القوي هو ما يحوّل قاعدة بيانات مسروقة إلى ضجيج بلا فائدة.
كيف يُكتشف
يفحص المختبِرون النقل غير المشفَّر، والشيفرات الضعيفة، والأسرار المكشوفة، وسوء التعامل مع كلمات المرور — ضمن أي اختبار اختراق. وأدوات مثل Wireshark تكشف حركة المرور غير المشفّرة على الفور.
ذات صلة: إخفاقات المصادقة، وأخطاء الإعداد الأمني. تعلّم كل ذلك مجانًا في أكاديمية Pentevo.
الأسئلة الشائعة
ما هو الإخفاق التشفيري؟
الإخفاق التشفيري يقع حين لا تُحمى البيانات الحساسة بشكل صحيح — لأن التشفير غائب أو ضعيف أو مُستخدَم بشكل خاطئ. والنتيجة كشف كلمات المرور أو بيانات الدفع أو المعلومات الشخصية، وغالبًا ما يؤدي ذلك إلى اختراق للبيانات.
كيف ينبغي تخزين كلمات المرور؟
لا تُخزَّن أبدًا كنص صريح، ولا باستخدام تجزئة بسيطة وسريعة مثل MD5 أو SHA-1. استخدم خوارزمية قوية وبطيئة ومملّحة مثل bcrypt أو scrypt أو Argon2، فبذلك تبقى قاعدة البيانات المسروقة عديمة القيمة عمليًا للمهاجم.
ماذا يعني حماية البيانات أثناء النقل وفي حالة السكون؟
«أثناء النقل» يعني البيانات المنتقلة عبر الشبكات، ويحميها بروتوكول TLS/HTTPS. أما «في حالة السكون» فيعني البيانات المخزّنة، ويحميها التشفير مع إدارة سليمة للمفاتيح. ويجب حماية البيانات الحساسة في الحالتين معًا.
لماذا يجب ألا تطوّر تشفيرك الخاص؟
التشفير لا يغفر الأخطاء: فالثغرات الصغيرة تؤدي إلى فشل تام. المكتبات والبروتوكولات المُثبَتة والمُراجَعة خضعت لتحليل الخبراء على مدى سنوات. أما ابتكار خوارزميات أو بروتوكولات خاصة بك فهو خطأ في الغالب الأعم.
مقالات ذات صلة
شرح الـ VPN: ماذا يفعل (وماذا لا يفعل) — 2026
كيف يعمل الـ VPN فعلًا، ومِمّ يحميك، ومِمّ لا يحميك، وكيف تختار واحدًا — دون مبالغات التسويق.
Fundamentalsما هو اختبار الاختراق؟ دليل المبتدئين (2026)
دليل مبسّط لاختبار الاختراق: ما هو، والمراحل الخمس، وأنواعه الرئيسية، وكيف يختلف عن فحص الثغرات.
Fundamentalsثغرات اليوم صفر: شرح كامل (2026)
ما هي ثغرة اليوم صفر، ولماذا هي بالغة الخطورة، وكيف تُستخدم هجمات اليوم صفر، وما الذي يستطيع المدافعون فعله حيال المجهول.
Fundamentalsما هو الـ CVE؟ فهم معرّفات الثغرات (2026)
ماذا يعني CVE، وكيف يعمل الترقيم، وكيف تساعدك درجة الخطورة CVSS ودرجات EPSS على تحديد الأولويات، وكيف تتابع الثغرات المهمة.
طبّق هذا عمليًا
أكاديمية Pentevo تحوّل هذه المفاهيم إلى دروس موجّهة وفيديوهات واختبارات — مجانًا.
ابدأ التعلّم مجانًا