أساسيات الأمن السيبراني لازم تعرفها كمطوّر

الـ 10 ثغرات الأكثر شيوعاً

1. SQL Injection ─ لسه موجودة في 2026! استخدم prepared statements دايماً.
2. XSS ─ dangerouslySetInnerHTML بدون sanitization
3. CSRF ─ ولا تنسى double-submit cookies
4. Open Redirect ─ ?next=... بدون validation
5. IDOR ─ /api/users/123 بدون authorization check
6. Weak Authentication ─ JWT في localStorage = خطر
7. Misconfigured CORS ─ * مع credentials
8. Exposed .env ─ شوفت ده 3 مرات الشهر اللي فات
9. Outdated dependencies ─ npm audit أصدقاؤك
10. No rate limiting ─ login endpoint بدون حماية = brute force جنة

Checklist سريعة لأي موقع جديد

• ✅ HTTPS only + HSTS
• ✅ Content Security Policy header
• ✅ Rate limiting على /login، /signup، /forgot-password
• ✅ Input validation (Zod أو Yup)
• ✅ SQL queries بـ ORM (Prisma، Drizzle)
• ✅ Sessions في httpOnly cookies، مش localStorage
• ✅ Logs بدون passwords أو tokens
• ✅ Backups يومياً

أدوات بستخدمها

• Burp Suite ─ للـ manual testing
• OWASP ZAP ─ بديل مجاني
• Snyk ─ لـ dependencies
• Mozilla Observatory ─ فحص headers سريع

الأمن مش feature بتضيفها في الآخر ─ ده mindset من السطر الأول.