Web Application Security Training
الجدول الزمني والرسوم
الجداول الحضورية
| التاريخ | المكان | الرسوم | |
|---|---|---|---|
| 25 يناير-12 فبراير 2026 | القاهرة | $3000 | |
| 23-05 أبريل 2026 | القاهرة | $3000 |
الجداول الأونلاين
أصبحت تطبيقات الويب واجهة رئيسية للخدمات الرقمية، ونقطة تعرض مباشرة للتهديدات السيبرانية التي تستهدف البيانات، والجلسات، وواجهات البرمجة، وآليات المصادقة، ومكونات البنية التطبيقية. ومع تزايد الاعتماد على الخدمات السحابية والمنصات المتكاملة، لم يعد أمن تطبيقات الويب مسؤولية تقنية معزولة، بل أصبح جزءاً من دورة حياة التطوير، وإدارة المخاطر، وحوكمة الضوابط الأمنية.
يركز هذا البرنامج التدريبي من AINFCT على بناء فهم عملي ومنظم لأمن تطبيقات الويب، بدءاً من المفاهيم الأساسية ونماذج الهجوم، مروراً بمخاطر التحكم في الوصول والحقن وسوء الإعدادات، وانتهاءً بالاختبار الأمني، وإدارة الثغرات، ودمج الأمن داخل دورة التطوير. كما يساعد البرنامج المشاركين على التعامل مع ضوابط الحماية، وأدوات الاختبار، ومنهجيات التحقق الأمني بطريقة مهنية قابلة للتطبيق.
يوفر البرنامج قيمة تدريبية عملية من خلال تحويل مفاهيم أمن التطبيقات إلى مهارات تحليل واختبار وتحسين يمكن استخدامها داخل بيئات العمل المختلفة.
فيما يلي الأهداف الرئيسية لهذا البرنامج التدريبي:
- تحليل مخاطر تطبيقات الويب الشائعة.
- تطبيق مبادئ التصميم والتطوير الآمن.
- تقييم ضوابط المصادقة والتحكم بالوصول.
- اختبار الثغرات التطبيقية بمنهجية منظمة.
- إدارة نتائج الفحص والمعالجة الأمنية.
- دمج الأمن ضمن دورة تطوير البرمجيات.
- عروض تفاعلية تربط المفاهيم بالحالات التطبيقية.
- تمارين تحليل ثغرات وسيناريوهات هجوم دفاعية.
- مناقشات موجهة حول نتائج الاختبار والمعالجة.
- أنشطة جماعية لتصميم ضوابط حماية عملية.
- مراجعات قصيرة لقياس الاستيعاب بعد المحاور.
يمكن تعزيز أمن التطبيقات المؤسسية من خلال:
- تقليل الثغرات الحرجة في تطبيقات الويب.
- تحسين جودة الضوابط داخل دورة التطوير.
- رفع جاهزية فرق التقنية والأمن للتقييم.
- دعم الامتثال لممارسات التطوير الآمن.
يساعد البرنامج المشاركين على:
- فهم تهديدات الويب بطريقة عملية.
- استخدام مصطلحات أمن التطبيقات باحتراف.
- تحليل نتائج الاختبارات الأمنية بوضوح.
- تحسين التواصل بين فرق التطوير والأمن.
يناسب هذا البرنامج المهنيين العاملين في تطوير التطبيقات، وأمن المعلومات، والاختبار التقني، وإدارة المخاطر التقنية. كما يفيد الفرق التي تحتاج إلى فهم مشترك لمخاطر تطبيقات الويب وطرق تقليلها.
- مطورو تطبيقات الويب والبرمجيات.
- مختصو أمن المعلومات والأمن السيبراني.
- مختبرو الاختراق ومحللو الثغرات.
- مسؤولو ضمان الجودة والاختبار التقني.
- مسؤولو التطبيقات والأنظمة التقنية.
اليوم الأول: مدخل إلى أمن تطبيقات الويب
- طبيعة تطبيقات الويب الحديثة ومكوناتها الرئيسية.
- نموذج العميل والخادم وتدفق الطلبات والاستجابات.
- العلاقة بين الأمن، الأداء، وقابلية الاستخدام.
- مصادر التهديدات في بيئات الويب المفتوحة.
- المبادئ الأساسية لتقليل سطح الهجوم.
اليوم الثاني: بنية تطبيقات الويب ونقاط التعرض
- الطبقات التطبيقية وقواعد البيانات والخدمات الخلفية.
- واجهات البرمجة وعلاقتها بالمخاطر التطبيقية.
- إدارة الجلسات والكوكيز والرموز الأمنية.
- نماذج الثقة بين المستخدم والتطبيق والخادم.
- نقاط التعرض الناتجة عن التكاملات الخارجية.
اليوم الثالث: منهجيات التهديد ونمذجة الهجوم
- مفهوم نمذجة التهديدات داخل دورة التطوير.
- تحديد الأصول، الجهات الفاعلة، ومسارات الهجوم.
- تصنيف التهديدات حسب الأثر والاحتمالية.
- ربط نماذج الهجوم بالضوابط الوقائية.
- توثيق سيناريوهات إساءة الاستخدام بوضوح.
اليوم الرابع: المصادقة وإدارة الهوية التطبيقية
- آليات تسجيل الدخول والتحقق من الهوية.
- كلمات المرور، المصادقة متعددة العوامل، والرموز.
- أخطاء إدارة الجلسات وانتهاء الصلاحية.
- حماية الحسابات من التخمين والاستيلاء.
- مراجعة تدفقات المصادقة من منظور أمني.
اليوم الخامس: التحكم في الوصول والصلاحيات
- الفرق بين المصادقة والتفويض والمحاسبية.
- ضوابط التحكم حسب الدور والملكية والسياق.
- الثغرات الناتجة عن مراجع الكائنات غير الآمنة.
- اختبار تجاوز الصلاحيات أفقياً وعمودياً.
- تصميم سياسات وصول قابلة للتحقق.
اليوم السادس: ثغرات الحقن ومعالجة المدخلات
- أنواع الحقن الشائعة في تطبيقات الويب.
- التحقق من المدخلات وترميز المخرجات.
- حقن قواعد البيانات والاستعلامات غير الآمنة.
- حقن الأوامر والقوالب والعبارات الديناميكية.
- أساليب التقليل من مخاطر الحقن.
اليوم السابع: التشفير وحماية البيانات التطبيقية
- حماية البيانات أثناء النقل والتخزين.
- استخدام HTTPS والشهادات والإعدادات الآمنة.
- إدارة الأسرار والمفاتيح داخل التطبيقات.
- أخطاء التشفير الشائعة في طبقة التطبيق.
- تقليل تعرض البيانات الحساسة داخل الواجهات.
اليوم الثامن: أمن الجلسات والمتصفح
- حماية الكوكيز وإعدادات SameSite وSecure.
- هجمات البرمجة عبر المواقع ومخاطرها.
- تزوير الطلبات عبر المواقع وطرق الوقاية.
- سياسات أمان المحتوى وحماية المتصفح.
- التعامل الآمن مع التخزين المحلي للبيانات.
اليوم التاسع: سوء الإعدادات والمكونات المعرضة
- أخطاء الإعداد في الخوادم والمنصات والأطر.
- إدارة رسائل الخطأ والمعلومات المكشوفة.
- تحديث المكونات والمكتبات مفتوحة المصدر.
- إدارة الاعتماديات ومخاطر سلسلة التوريد.
- مراجعة الإعدادات الآمنة قبل الإطلاق.
اليوم العاشر: أمن واجهات البرمجة API
- خصائص واجهات REST وJSON ومخاطرها.
- مصادقة واجهات البرمجة وتفويض الطلبات.
- حدود المعدلات وإساءة الاستخدام الآلية.
- حماية الكائنات والوظائف عبر الواجهات.
- اختبار واجهات البرمجة بمنهجية أمنية.
اليوم الحادي عشر: الاختبار الأمني لتطبيقات الويب
- مراحل اختبار أمن تطبيقات الويب.
- الفحص الآلي والاختبار اليدوي وحدود كل منهما.
- إعداد نطاق الاختبار وقواعد الاشتباك.
- التحقق من الثغرات وتقليل النتائج الخاطئة.
- توثيق الأدلة الفنية بطريقة مهنية.
اليوم الثاني عشر: أدوات الفحص والتحليل الأمني
- استخدام الوكلاء الاعتراضيين لتحليل الطلبات.
- فحص الرؤوس، الجلسات، والمدخلات.
- تحليل نتائج SAST وDAST وSCA.
- تنظيم الملاحظات حسب الخطورة والسياق.
- اعتبارات السلامة عند الاختبار على البيئات الحية.
اليوم الثالث عشر: إدارة الثغرات والمعالجة
- تصنيف الثغرات حسب الأثر والاستغلال.
- تحديد أولويات المعالجة وفق المخاطر.
- كتابة توصيات علاجية قابلة للتنفيذ.
- التحقق من إغلاق الثغرات بعد المعالجة.
- بناء سجل متابعة للثغرات التطبيقية.
اليوم الرابع عشر: دمج الأمن في دورة التطوير
- مبادئ التطوير الآمن داخل SDLC.
- متطلبات الأمن في التحليل والتصميم.
- مراجعة الكود ونماذج الاختبار المستمر.
- دمج الأمن في خطوط CI/CD.
- مؤشرات قياس نضج أمن التطبيقات.
اليوم الخامس عشر: تطبيقات عملية ومراجعة تكاملية
- تحليل سيناريو تطبيقي متعدد الثغرات.
- ربط التهديدات بالضوابط والمعالجة.
- مراجعة أهم مفاهيم أمن تطبيقات الويب.
- مناقشة أخطاء شائعة في الاختبار والمعالجة.
- إعداد خطة تطوير مهني بعد البرنامج.
يمتد البرنامج لمدة 15 يوماً تدريبياً، بواقع 4 ساعات تدريبية يومياً. يبدأ كل يوم بمراجعة موجزة للمفاهيم السابقة، ثم عرض للمحور الرئيسي، يتبعه نقاش تطبيقي أو تمرين عملي قصير، وينتهي اليوم بخلاصة مركزة تربط الموضوعات بمسؤوليات العمل الفعلية. يتم توزيع الوقت بما يوازن بين الشرح، والنقاش، والتطبيق، والمراجعة المعرفية.
يعتمد التقييم على المشاركة الفعالة، والتمارين التطبيقية، والمناقشات المهنية، والمراجعات القصيرة المرتبطة بمحاور البرنامج. يحصل المشاركون في نهاية البرنامج على شهادة حضور/إتمام من AINFCT وفق متطلبات الحضور والمشاركة المعتمدة.
- أمن تطبيقات الويب.
- اختبار الثغرات التطبيقية.
- التحكم في الوصول.
- التطوير الآمن.
- إدارة الثغرات.
- أمن واجهات البرمجة.
مقدمي الخدمات و الشراكات
مقدمي الخدمات و الشراكات