ما هو OWASP Top 10؟

Question

ما هو OWASP Top 10؟

Accepted Answer

**OWASP Top 10** هي قائمة معترف بها على نطاق واسع تضم **أكثر المخاطر الأمنية الحرجة في تطبيقات الويب**، ننشرها OWASP (Open Worldwide Application Security Project). وهي مورد توعية ضروري لفهم الثغرات الشائعة التي يجب على المطورين الدفاع عنها.

## ما هو OWASP Top 10

```text
A regularly-updated list of the TOP 10 most critical web app security risks:
  → based on real-world data and expert consensus
  → a standard AWARENESS document — the baseline of vulnerabilities to know and prevent
  → not exhaustive, but the most important/common risks to address first
```

## الفئات (OWASP Top 10 الحديث)

```text
1. BROKEN ACCESS CONTROL → users accessing what they shouldn't (authorization flaws)
2. CRYPTOGRAPHIC FAILURES → weak/missing encryption; exposed sensitive data
3. INJECTION → SQL injection, command injection (untrusted input as code/queries)
4. INSECURE DESIGN → security flaws in the design itself
5. SECURITY MISCONFIGURATION → insecure defaults, exposed settings, verbose errors
6. VULNERABLE/OUTDATED COMPONENTS → using libraries with known vulnerabilities
7. AUTHENTICATION FAILURES → weak auth, broken session management
8. DATA INTEGRITY FAILURES → insecure deserialization, untrusted updates (supply chain)
9. LOGGING/MONITORING FAILURES → can't detect/respond to attacks
10. SSRF → server-side request forgery (server tricked into making requests)
```

## لماذا هو قيّم

```text
✓ A prioritized CHECKLIST of what to defend against (the most common/critical risks)
✓ Common LANGUAGE for discussing app security; widely referenced in industry
✓ Educational — learn the major vulnerability classes and how to prevent them
→ A foundational reference for any developer/team building secure web apps.
```

## لماذا يهم الأمر

فهم OWASP Top 10 قيّم لأنه **المرجع القياسي لأكثر مخاطر أمن تطبيقات الويب حرجة**، يوفر توعية ضرورية بالثغرات التي يجب على المطورين الدفاع عنها، لذا فهو معرفة أمنية أساسية.

OWASP Top 10 — قائمة محدثة بانتظام تستند إلى البيانات لأكثر مخاطر أمن تطبيقات الويب — تعمل كـ **الحد الأدنى من الثغرات التي يجب أن يعرفها كل مطور يبني تطبيقات ويب**، وتمثل الأخطار الأكثر شيوعاً وحرجة التي يجب معالجتها.

فهم **الفئات** — بما فيها **التحكم في الوصول المكسور** (عيوب التخويل)، **الحقن** (حقن SQL والمشابهة، فئة كلاسيكية وخطيرة)، **أخطار التشفير** (التشفير الضعيف، تسرب البيانات)، **سوء تكوين الأمان**، **المكونات الضعيفة/القديمة** (استخدام مكتبات بها ثغرات معروفة)، **فشل المصادقة**، وغيرها — يعطي المطورين وعياً بفئات الثغرات الرئيسية وما يجب الدفاع عنه.

هذا الوعي أساسي لأنك لا تستطيع منع الثغرات التي لا تعرف عنها، و OWASP Top 10 يغطي تلك الأرجح بسبب انتهاكات حقيقية.

فهم **لماذا هو قيّم** — كقائمة ذات أولويات لما يجب الدفاع عنه، ولغة مشتركة للنقاش حول الأمان، ومورد تعليمي لتعلم فئات الثغرات — يعكس دوره كمرجع صناعي أساسي.

يتم الإشارة إلى OWASP Top 10 على نطاق واسع في النقاشات الأمنية والتدريب والمعايير، مما يجعل الإلمام به توقعاً أساسياً للمطورين الذين يهتمون بالأمان.

بما أن أمان تطبيقات الويب يتطلب الدفاع ضد الثغرات الشائعة والحرجة و OWASP Top 10 هو المرجع القياسي المحددة لها (التحكم في الوصول المكسور، الحقن، أخطار التشفير، إلخ)، وبما أن فهمها يوفر وعياً ضرورياً بما يجب منعه، فإن فهم OWASP Top 10 معرفة أمنية قيّمة وأساسية — مرجع التوعية القياسي لمخاطر أمن تطبيقات الويب، ضروري لمعرفة الثغرات الرئيسية للدفاع عنها، وحد أدنى لأي مطور أو فريق يبني تطبيقات آمنة، تمت الإشارة إليه بكثرة في الصناعة والتعليم الأمني.