[NEW] Secure Code in NodeJs JavaScript

أهلا بك عزيزي المتابع لموقع (journey for learn) نقدم دورات بكوبونات متاحة لاول 1000 تسجيل مجاني فقط وكوبونات اخري لفترة محدودة فاذا كنت تريد ان تحصل علي كل الكورسات علي موقعنا وان تكون اول المسجلين في الكورسات المجانية قم بتسجيل الدخول أوقم بالدخول علي وسائل التواصل الاجتماعي وخصوصا التليجرام نوضح الوصف المختصر والطويل للدورات لكي تعرف الدروس التي سوف تتعلمها بسهولة ويسر :

تغطية تفصيلية لنطاق الاختبار: رمز آمن في NodeJs JavaScript لتأمين تطبيق ويب حديث، يجب على المطور أن ينظر إلى ما هو أبعد من مجرد كتابة التعليمات البرمجية الوظيفية. تم تصميم بنك الاختبار التدريبي هذا لمساعدتك على إتقان الركائز الأساسية لشهادة الأمان الرسمية:

• مفاهيم الأمان الأساسية في Node.js (20%): إتقان التحقق القوي من صحة الإدخال، وتنفيذ المصادقة متعددة العوامل، وضمان تشفير البيانات أثناء الراحة وأثناء النقل.
• الثغرات الشائعة والوقاية منها (40%): الغوص العميق في تحديد وتحييد التهديدات عالية المخاطر مثل SQL حقن، وXSS، وCSRF داخل النظام البيئي Node.js.
• ممارسات الترميز الآمنة وأفضل الممارسات (40%): تعلم الإرشادات المهنية للتعامل مع الأخطاء (دون تسريب المعلومات الحساسة)، والتسجيل الآمن، وتعزيز تكوينات النشر الخاصة بك.

وصف الدورة التدريبية لقد قمت بإنشاء هذا المورد التدريبي الشامل للمطورين الذين يرغبون في تجاوز "التعليمات البرمجية الفعالة" إلى "التعليمات البرمجية الآمنة". مع 1500 سؤال تدريبي أصلي، توفر هذه الدورة بيئة صارمة لاختبار معرفتك في مواجهة المخاطر الشائعة وعمليات الاستغلال المتقدمة الموجودة في بيئات JavaScript. في عالم الأمان، معرفة "السبب" لا تقل أهمية عن "كيف". ولهذا السبب قمت بتضمين شرح شامل لكل خيار إجابة. سواء كنت تتعلم عن التعقيم القائم على regex أو أمان JWT، فسوف تفهم الآليات الأساسية لكل ثغرة أمنية وإصلاحها. هدفي هو التأكد من أنك تمتلك العمق التقني المطلوب لاجتياز الاختبار من المحاولة الأولى وتأمين تطبيقاتك الاحترافية. نماذج من الأسئلة التدريبية

• السؤال 1: أي مما يلي هو الطريقة الأكثر فعالية لمنع حقن SQL في تطبيق Node.js باستخدام مكتبة مثل mysql أو pg؟
  • أ. استخدام تعبير عادي لإزالة الفواصل المنقوطة من مدخلات المستخدم.
  • ب. تحويل كل إدخالات المستخدم إلى أحرف كبيرة قبل تشغيل الاستعلام.
  • ج. استخدام الاستعلامات ذات المعلمات (البيانات المعدة) بدلاً من تسلسل السلسلة.
  • د. السماح للمستخدمين بإرسال الأرقام في حقول البحث فقط.
  • هـ. الاعتماد على جدار الحماية من جانب العميل لمنع حركة المرور الضارة.
  • و. إخفاء مخطط قاعدة البيانات عن الجمهور.
  • الإجابة الصحيحة: C
  • الشرح:
    • C (صحيح): تضمن الاستعلامات ذات المعلمات أن يتم التعامل مع إدخال المستخدم بشكل صارم كبيانات، وليس كرمز قابل للتنفيذ، وهو المعيار الذهبي لمنع حقن SQL.
    • أ (غير صحيح): يمكن تجاوز أحرف القائمة السوداء مثل الفواصل المنقوطة بسهولة بواسطة مهاجمين أذكياء باستخدام تقنيات ترميز مختلفة.
    • ب (غير صحيح): الحروف الكبيرة لا توقف هجمات الحقن المنطقية؛ إنه يغير فقط غلاف سلسلة الهجوم.
    • D (غير صحيح): هذا مقيد للغاية بالنسبة لمعظم تطبيقات العالم الحقيقي ولا يحل مشكلة الحقول التي تتطلب نصًا.
    • E (غير صحيح): يجب تنفيذ الأمان على مستوى الكود؛ يمكن تجاوز الدفاعات من جانب العميل أو المحيط.
    • F (غير صحيح): الأمان من خلال الغموض ليس آلية دفاع صالحة ضد عمليات الاستغلال الحديثة.
• السؤال 2: لمنع البرمجة النصية عبر المواقع (XSS) عند عرض المحتوى الذي ينشئه المستخدم في محرك قالب Node.js مثل EJS أو Pug، ماذا يجب على المطور فعله؟
  • أ. استخدم علامة الإخراج "unscaped" للتأكد من أن المتصفح يقرأ كل HTML.
  • ب. استخدم دائمًا علامات الهروب الافتراضية وقم بتطهير الإدخال باستخدام مكتبة مثل dompurify.
  • ج. قم بتخزين البيانات في حقل إدخال مخفي قبل عرضها.
  • د. قم بتعطيل JavaScript في متصفح المستخدم عبر علامة وصفية.
  • E. استخدم eval() لتحليل محتوى المستخدم قبل عرضه.
  • F. السماح للمستخدمين فقط بتحميل الصور، وليس النص.
  • الإجابة الصحيحة: ب
  • الشرح:
    • ب (صحيح): يؤدي الهروب إلى تحويل الأحرف الخاصة إلى كيانات HTML (مثل < إلى <)، ويزيل التطهير البرامج النصية الخطيرة، مما يوفر دفاعًا متعدد الطبقات.
    • أ (غير صحيح): تعد العلامات التي لم يتم إلغاءها هي السبب الرئيسي لـ XSS لأنها تسمح لعلامات