Update 0xa7-security-misconfiguration.md

Author: 0xHasanM

2019/ar/src/0xa7-security-misconfiguration.md

@@ -10,24 +10,23 @@
     <td> الانتشار : 3 قابلية الاكتشاف : 3  </td>
     <td> التأثر التقني و تأثر الاعمال: 3 </td>
   </tr> 
-     <td> يحاول المهاجمون غالباً البحث عن الثغرات الأمنية على مستوى الأنظمة او اليات العمل اول على مصادر بيانات غير محمية وذلك بغيت الوصول الغير مصرح به للمعلومات. </td>
-    <td> يمكن ان يحدث الاعداد الخاطئ في أي مستوى من مستويات واجهة برمجة التطبيقات API، ابتداءًا من مستوى الشبكة الى مستوى التطبيقات، حيث تتوفر الأدوات للقيام بالفحص واكتشاف الأخطاء بشكل آلي وذلك بهدف البحث عن مواطن الإعدادات الخاطئة او الخدمات الفعلة والغير ضرورية او الخيارات القديمة والمصابة بثغرات. </td>
+     <td> يحاول المهاجمون غالباً البحث عن الثغرات الأمنية على مستوى الأنظمة او اليات العمل اول على مصادر بيانات غير محمية وذلك بغاية الوصول الغير مصرح به للمعلومات. </td>
+    <td> يمكن ان يحدث الاعداد الخاطئ في أي مستوى من مستويات واجهة برمجة التطبيقات API، ابتداءًا من مستوى الشبكة الى مستوى التطبيقات، حيث تتوفر الأدوات للقيام بالفحص واكتشاف الأخطاء بشكل آلي وذلك بهدف البحث عن مواطن الإعدادات الخاطئة او الخدمات الفعالة والغير ضرورية او الخيارات القديمة والمصابة بثغرات. </td>
     <td> قد يؤدي عملية الإعدادات الخاطئة الى تسريب البيانات وكذلك اختراق الأنظمة والخوادم. </td>    
   </tr>
   </table>
 
 <h3 dir='rtl' align='right'>هل أنا معرض لهذه الثغرة؟</h3>
 
-<p dir='rtl' align='right'> قد يكون واجهة التطبيقات API معرض لثغرات في حال :
+<p dir='rtl' align='right'> قد يكون واجهة التطبيقات API معرضة لثغرات في حال :
 
-<p dir='rtl' align='right'>▪️ اذا لم يكن هناك أي آلية متبعة لعملية تعزيز حماية النظام في جميع مراحلة او اذا كان هناك تهيئة غير صحيحة على الخدمات السحابية.
+<p dir='rtl' align='right'>▪️ اذا لم يكن هناك أي آلية متبعة لعملية تعزيز حماية النظام في جميع مراحله او اذا كان هناك تهيئة غير صحيحة على الخدمات السحابية.
 <p dir='rtl' align='right'>▪️ اذا لم يكن هناك آلية لسد الثغرات الأمنية او في حال كانت الأنظمة المستخدمة غير محدثة او خارجة عن الخدمة.
 <p dir='rtl' align='right'>▪️ اذا كان هناك تفعيل لبعض الطلبات الغير مطلوبة مثل بعض طلبات HTTP الغير مستخدمة TREAC او DELETE على سبيل المثال.
 <p dir='rtl' align='right'>▪️  اذا لم يتم استخدام التشفير بواسطة TLS. 
 <p dir='rtl' align='right'>▪️ إذا لم يتم تعين سياسة مشاركة المواد بطريقة صحيحة او كان هناك خطا في الإعدادات الخاصة بها
-<p dir='rtl' align='right'>▪️ إذا كانت رسائل الخطة تحتوي على معلومات حساسة ويمكن تتبعها.   
+<p dir='rtl' align='right'>▪️ إذا كانت رسائل الخطأ تحتوي على معلومات حساسة ويمكن تتبعها.   
 
-<p dir='rtl' align='right'>▪️    
 
 <h3 dir='rtl' align='right'> امثلة على سيناريوهات الهجوم: </h3>
 
@@ -38,12 +37,12 @@
 ```
 $ curl -X GET 'https://api.server/endpoint/' -H 'authorization: Basic Zm9vOmJhcg=='
 ```
-<p dir='rtl' align='right'> يمكن للمهاجم ايضاً معرفة مصادر البيانات من خلال الأوامر التي يستخدمها المطورين من خلال تكرار عملية الوصول للملف أعلاه وما حدث ذلك الا بسبب عد توثيق الإجراءات بالشكل الصحيح.
+<p dir='rtl' align='right'> يمكن للمهاجم ايضاً معرفة مصادر البيانات من خلال الأوامر التي يستخدمها المطورين من خلال تكرار عملية الوصول للملف أعلاه وما حدث ذلك الا بسبب عدم توثيق الإجراءات بالشكل الصحيح.
 
 
 <h4 dir='rtl' align='right'>السيناريو الثاني : </h4>
 
-<p dir='rtl' align='right'> يقوم المهاجمون في معظم الأحيان في استخدام محركات البحث بهدف الحصول على خوادم يستطيع من خلالها الوصول الى مصدر البيانات بشكل مباشر. او من خلال البحث عن أحد المنافذ المشهورة في قواعد البيانات او في إدارة الأنظمة والخوادم.  وفي حال كان الخادم او النظام المستهدف يقوم باستخدام الأعدادت الافتراضية وغير محمي باستخدام مصادقة صحيحة قد يمكن المهاجم من الوصول للبيانات الشخصية PII والذي قد يؤدي الى تسريب بيانات المستخدمين لتلك الخدمة.
+<p dir='rtl' align='right'> يقوم المهاجمون في معظم الأحيان باستخدام محركات البحث بهدف الحصول على خوادم يستطيع من خلالها الوصول الى مصدر البيانات بشكل مباشر. او من خلال البحث عن أحد المنافذ المشهورة في قواعد البيانات او في إدارة الأنظمة والخوادم.  وفي حال كان الخادم او النظام المستهدف يقوم باستخدام الأعدادت الافتراضية وغير محمي باستخدام مصادقة صحيحة قد يمكن المهاجم من الوصول للبيانات الشخصية PII والذي قد يؤدي الى تسريب بيانات المستخدمين لتلك الخدمة.
 
 <h4 dir='rtl' align='right'>السيناريو الثالث  : </h4>
 
@@ -55,14 +54,14 @@ $ curl -X GET 'https://api.server/endpoint/' -H 'authorization: Basic Zm9vOmJhcg
 <p dir='rtl' align='right'> دورة حياة واجهة برمجة التطبيقات API لابد ان تشتمل على : 
 
 <p dir='rtl' align='right'>▪️ عملية تعزيز حماية الأنظمة تساهم بشكل كبير في بناء بيئة امنة و موثوقة 
-<p dir='rtl' align='right'>▪️ إيجاد آلية لمراجعة الإعدادات و التحديثات بأكملها ويجب ان تتضمن مراجعة كل من ملفات الحفظ و المزامنة مكونات واجهة برمجة التطبيقات API التطبيقات و الخدمات السحابية.
+<p dir='rtl' align='right'>▪️ إيجاد آلية لمراجعة الإعدادات و التحديثات بأكملها ويجب ان تتضمن مراجعة كل من ملفات الحفظ و المزامنة مكونات واجهة برمجة التطبيقات API و الخدمات السحابية.
 <p dir='rtl' align='right'>▪️ توفير اتصال امن و مشفر لجميع الاتصالات في التعامل مع التطبيق او رفع وتحميل الصور.
 <p dir='rtl' align='right'>▪️ عملية تقييم امني مستمر لمعرفة مستوى نضج الاعدادات في جميع انحاء البنية التحتية.
 
 <p dir='rtl' align='right'> علاوة على ذلك: 
 
-<p dir='rtl' align='right'>▪️ لمنع تتبع الأخطاء التي قد يتم الرد بها بعد عمليات الطلب والتي قد تمكن المهاجم من استعراض البيانات الحساسة يجب ان تكون جميع الرود محدودة ومحصورة بما في ذلك عمليات الاستجابة للأخطاء.
-<p dir='rtl' align='right'>▪️ تأكد انه لا يمكن الوصول الى واجهة برمجة التطبيقات API الا من خلال احد الطلبات المحددة وعد السماح بجميع الطلبات الخاصة ببروتوكول HTTP بالعمل بل ويجب تعطيلها مثال (HEAD , TRACE).
+<p dir='rtl' align='right'>▪️ لمنع تتبع الأخطاء التي قد يتم الرد بها بعد عمليات الطلب والتي قد تمكن المهاجم من استعراض البيانات الحساسة يجب ان تكون جميع الردود محدودة ومحصورة بما في ذلك عمليات الاستجابة للأخطاء.
+<p dir='rtl' align='right'>▪️ تأكد انه لا يمكن الوصول الى واجهة برمجة التطبيقات API الا من خلال احد الطلبات المحددة وعدم السماح بجميع الطلبات الخاصة ببروتوكول HTTP بالعمل بل ويجب تعطيلها مثال (HEAD , TRACE).
 <p dir='rtl' align='right'>▪️ يجب على واجهات برمجة التطبيقات API التي تتوقع أن يتم الوصول إليها من عملاء يستندون إلى المتصفح على سبيل المثال (الواجهة الامامية لخدمات الويب) يجب تنفيذ سياسة سليمة وموثوقة لمشاركة الموارد عبر (CORS).