بِسْمِ اللَّهِ الرَّحْمٰنِ الرَّحِيمِ
ما هي هي ثغرة RCE ؟
تُعدّ ثغرة RCE من أخطر أنواع الثغرات الأمنية، حيث يُشير اختصار RCE إلى Remote Code Execution، أي تنفيذ الأوامر عن بُعد.
قبل أن نبدأ، من المهم توضيح نقطة أساسية: لا يمكن ترجمة أو تعريب بعض المصطلحات التقنية، لذا سأستخدم الأسماء الأصلية بالإنجليزية مع تقديم شرح واضح لها قدر الإمكان.
هذا النوع من الثغرات لا يقتصر فقط على استهداف المواقع، بل يمتد ليشمل أنظمة التشغيل والتطبيقات، سواء على Android أو iOS، مما يجعلها تهديدًا خطيرًا للغاية
لن تتمكن من اكتشاف هذا النوع من الثغرات إلا إذا كانت لديك معرفة جيدة بلغة البرمجة المستخدمة في التطبيق أو الموقع الذي تُجري عليه اختبار الاختراق، لأن ثغرة RCE ليست مثل باقي الثغرات التي قد تواجهها وتتعامل معها بسهولة
ازاي يعني مش زي أي ثغرة تتعامل معاها؟
على سبيل المثال، ثغرة مثل SQL Injection قد يتمكن أي شخص من استغلالها حتى لو كان مبتدئًا. صحيح أنها قد تكون صعبة بعض الشيء، ولكن يمكن لمبتدئ استغلالها. أما RCE فهي مختلفة تمامًا
كما ذكرنا، ثغرة RCE تتطلب مهارات في لغات برمجة معينة. واللغات التي تهمنا هنا هي اللغات الديناميكية
.What matters to us in programming languages are "dynamic languages"
طيب بالراحة بس, ايه هي اللغات الديناميكية دي ياعم مصطفى؟
اللغات الديناميكية دي زي مثلًا JavaScript, Asp, Php.
مثلًا لغة الـ JavaScript هتلاقيها بتعمل نفس عمل لغة الـ Php ولدرجة أن خبراء البرمجة بيقولوا أن لغة الـ JavaScript هي لغة المستقبل.
طب ثغرة RCE بتحصل ازاي ؟
ثغرة RCE تحدث لسببين:
الخطأ الأول يكون نتيجة للمبرمج
السبب الثاني في بعض الأحيان يكون بسبب لغة البرمجة نفسها
أغلب لغات البرمجة أو تحديداً لغات البرمجة الديناميكية اللى معانا النهارده بتوفر للمبرمجين بشكل عام شوية دوال أو Functions بتكون جاهزة ومش بتخلي المبرمج يحتاج إنه يكتبها.
بس الدوال دي بيكون ليها صلاحيات على النظام أو الموقع بحيث تتمكن من التحكم أو إنه تعطي أوامر على النظام بهدف التنفيذ بشكل أوتوماتيك
واتكلمنا فوق أن أحيانًا الثغرة بتنتج بسبب خطأ فى لغات البرمجة.
اللي كتب لغة البرمجة نفسه هو "الإنسان" والإنسان مش كامل ومش معصوم من الخطأ, بس علشان تكتشف ثغرة في لغة برمجة ده هيتطلب منك مهارات عالية جدًا وخبرة وقت كبير في المجال
وبس كدة هذا كان تبسيط شبه حرفي لثغرة RCE
أتمنى أكون وُفِقت من الله في الشرح
ما هي هي ثغرة RCE ؟
تُعدّ ثغرة RCE من أخطر أنواع الثغرات الأمنية، حيث يُشير اختصار RCE إلى Remote Code Execution، أي تنفيذ الأوامر عن بُعد.
قبل أن نبدأ، من المهم توضيح نقطة أساسية: لا يمكن ترجمة أو تعريب بعض المصطلحات التقنية، لذا سأستخدم الأسماء الأصلية بالإنجليزية مع تقديم شرح واضح لها قدر الإمكان.
هذا النوع من الثغرات لا يقتصر فقط على استهداف المواقع، بل يمتد ليشمل أنظمة التشغيل والتطبيقات، سواء على Android أو iOS، مما يجعلها تهديدًا خطيرًا للغاية
لن تتمكن من اكتشاف هذا النوع من الثغرات إلا إذا كانت لديك معرفة جيدة بلغة البرمجة المستخدمة في التطبيق أو الموقع الذي تُجري عليه اختبار الاختراق، لأن ثغرة RCE ليست مثل باقي الثغرات التي قد تواجهها وتتعامل معها بسهولة
ازاي يعني مش زي أي ثغرة تتعامل معاها؟
على سبيل المثال، ثغرة مثل SQL Injection قد يتمكن أي شخص من استغلالها حتى لو كان مبتدئًا. صحيح أنها قد تكون صعبة بعض الشيء، ولكن يمكن لمبتدئ استغلالها. أما RCE فهي مختلفة تمامًا
كما ذكرنا، ثغرة RCE تتطلب مهارات في لغات برمجة معينة. واللغات التي تهمنا هنا هي اللغات الديناميكية
.What matters to us in programming languages are "dynamic languages"
طيب بالراحة بس, ايه هي اللغات الديناميكية دي ياعم مصطفى؟اللغات الديناميكية دي زي مثلًا JavaScript, Asp, Php.
مثلًا لغة الـ JavaScript هتلاقيها بتعمل نفس عمل لغة الـ Php ولدرجة أن خبراء البرمجة بيقولوا أن لغة الـ JavaScript هي لغة المستقبل.
طب ثغرة RCE بتحصل ازاي ؟ثغرة RCE تحدث لسببين:
الخطأ الأول يكون نتيجة للمبرمج
السبب الثاني في بعض الأحيان يكون بسبب لغة البرمجة نفسها
أغلب لغات البرمجة أو تحديداً لغات البرمجة الديناميكية اللى معانا النهارده بتوفر للمبرمجين بشكل عام شوية دوال أو Functions بتكون جاهزة ومش بتخلي المبرمج يحتاج إنه يكتبها.
بس الدوال دي بيكون ليها صلاحيات على النظام أو الموقع بحيث تتمكن من التحكم أو إنه تعطي أوامر على النظام بهدف التنفيذ بشكل أوتوماتيك
واتكلمنا فوق أن أحيانًا الثغرة بتنتج بسبب خطأ فى لغات البرمجة.
اللي كتب لغة البرمجة نفسه هو "الإنسان" والإنسان مش كامل ومش معصوم من الخطأ, بس علشان تكتشف ثغرة في لغة برمجة ده هيتطلب منك مهارات عالية جدًا وخبرة وقت كبير في المجال
وبس كدة هذا كان تبسيط شبه حرفي لثغرة RCE
أتمنى أكون وُفِقت من الله في الشرح
التعديل الأخير بواسطة المشرف:
