Add polyfill.io supply chain attack example to Arabic A08

2021/docs/ar/A05_2021-Security_Misconfiguration.md

@@ -30,7 +30,7 @@
 
 -   لا يرسل أو يستخدم الخادم عناوين "Headers" عند نقل البيانات الحساسة للمتصفح أو عند تقديمها من قِبل المتصفح.
 
--   لم يعد البرنامج مدعومًا من قبل مزوّدي الخدمات أو ضعيف أمنيًا لاحتوائه على ثغرات أمنية (انظر إلى - A06:2021 الثغرات والأنظمة الغير قابلة للتحديث).
+-  لم يعد البرنامج مدعومًا من قبل مزوّدي الخدمات أو ضعيف أمنيًا لاحتوائه على ثغرات أمنية (انظر إلى link:https://owasp.org/Top10/A06_2021-Vulnerable_and_Outdated_Components/[A06:2021 الثغرات والأنظمة الغير قابلة للتحديث]).
 
 من دون امتلاك إجراءات مفهومة وقابلة للتكّرار للإعدادات الأمنية لتكوين البرنامج بما يتوافق مع الضوابط الأمنية، تُصبح الأنظمة في خطر عالي.
 
@@ -42,7 +42,8 @@
 
 -   الاكتفاء بالحد الأدنى الأساسي من النظام أو المنصّة بدون تفعيل مِيزات، أو مكونات، أو وثائق، أو عيّنات غير ضرورية، مع حذف وإبطال الميزات وإطار الغير مستخدمة أو عدم تثبيتها.
 
--   مراجعة وتحديث الإعدادات بما يتناسب مع كافة ملاحظات الأمان والتحديثات والإصلاحات كجزء من عملية إدارة حِزم الإصلاحات والترقيات. (انظر إلى- A06:2021 الثغرات والأنظمة الغير قابلة للتحديثات). بالإضافة إلى مراجعة أذونات التخزين السحابيّة على سبيل المثال (S3 Bucket Permissions).
+-  مراجعة وتحديث الإعدادات بما يتناسب مع كافة ملاحظات الأمان والتحديثات والإصلاحات كجزء من عملية إدارة حِزم الإصلاحات والترقيات. (انظر إلى link:https://owasp.org/Top10/A06_2021-Vulnerable_and_Outdated_Components/[A06:2021 الثغرات والأنظمة الغير قابلة للتحديثات]). بالإضافة إلى مراجعة أذونات التخزين السحابيّة على سبيل المثال (S3 Bucket Permissions).
+
 
 -   تتيح بنية التطبيق المقسّمة فصلًا فعّالًا وآمنًا بين المكونات، مع التجزئة في مجموعات أمان السحابة (ACLs).
 

2021/docs/ar/A06_2021-Vulnerable_and_Outdated_Components.md

@@ -26,7 +26,7 @@
 
 -   إذا لم يقم مطورو البرامج باختبار توافق المكتبات المحدثة أو التي تم اجراء إصلاحات عليها.
 
--   إذا لم تقم بتأمين الاعدادات بالشكل الصحيح. (انظر A05: 2021 – الإعدادات الأمنية الخاطئة ).
+-   إذا لم تقم بتأمين الاعدادات بالشكل الصحيح. (انظر link:https://owasp.org/Top10/A05_2021-Security_Misconfiguration/[A05:2021 – الإعدادات الأمنية الخاطئة]).
 
 
 
@@ -38,7 +38,8 @@
 
 -   عمل جرد بشكل دوري للإصدارات من جانب المستخدم ومن جانب الخادم (على سبيل المثال، إطار العمل والمكتبات) ومكوناتها باستخدام أدوات مثل Versions, OWASP Dependency Check, Retire.JS وما إلى ذلك، مراقبة المصادر الخاصة بالثغرات باستمرار مثل CVE و NVD بحثًا عن الثغرات التي في المكونات. وقم باستخدام الأدوات الخاصة بتحليل الإعدادات وذلك من أجل أتمتة العملية. وأخيرًا، قم  بالاشتراك في تنبيهات البريد الإلكتروني الخاصة بالثغرات الأمنية المتعلقة بالمكونات التي تستخدمها.
 
--   الحصول على المكونات من المصادر الرسمية فقط عبر الروابط الآمنة. يفضل التأكد من ان الحزم موقعه رقمياً لتقليل فرصة تثبيت مكونات معدلة وضارة (انظر A08: 2021- فشل سلامة البيانات والبرمجيات).
+-   الحصول على المكونات من المصادر الرسمية فقط عبر الروابط الآمنة. يفضل التأكد من ان الحزم موقعه رقمياً لتقليل فرصة تثبيت مكونات معدلة وضارة (انظر link:https://owasp.org/Top10/A08_2021-Software_and_Data_Integrity_Failures/[A08:2021 – فشل سلامة البيانات والبرمجيات]).
+
 
 -   مراقبة المكتبات والمكونات التي لا يتم صيانتها أو التي لا تقوم بعمل تحديثات الأمان للإصدارات القديمة. إذا لم تكن عملية سدّ الثغرات مُمكنة، فكّر في إنشاء آلية افتراضية لمراقبة تلك المكونات ورصد المحاولات الضَّارة والحماية منها
 
@@ -78,8 +79,8 @@
 -   Retire.js for detecting known vulnerable JavaScript libraries
 
 -   Node Libraries Security Advisories
+-   link:https://rubysec.com/[Ruby Libraries Security Advisory Database and Tools]
 
--   [Ruby Libraries Security Advisory Database and Tools]()
 
 -   https://safecode.org/publication/SAFECode_Software_Integrity_Controls0610.pdf
 

2021/docs/ar/A08_2021-Software_and_Data_Integrity_Failures.md

@@ -36,6 +36,13 @@
 **سيناريو #2 التحديث بدون التأكد من التواقيع:** العديد من أجهزة الموجّهات المنزلية والبرامج الثابتة Firmware وغيرها لا تتحقّق من صحة التواقيع الرقمية عند إجراء التحديثات. حيث تُعد البرامج الثابتة الغير موقعة هدفًا سهلًا للمهاجمين. فالخطر هنا أنه لا توجد آلية لإصلاحه، بل في انتظار الإصلاح في الإصدارات القادمة
 
 **سيناريو #3 التحديثات التي استهدفت SolarWinds**: يقوم المهاجمون المتقدمون باستهداف آلية التحديث للأنظمة. ومن خلال ملاحظة الهجمة الحديثة التي استهدفت SolarWinds Orion. حيث قامت الشركة بتطوير آلية وسياسة للتأكد من سلامة عملية التحديث وأمنها. ومع ذلك فقد يستطيع المهاجمون استغلالها، وقد حدث ذلك واستغلوا المهاجمين تلك الآلية ولمدة أشهر، حيث قاموا بحقن برمجيات التحديثات للأنظمة التي أثّرت على أكثر من 18,000 نظام لأكثر من 100 منظمة حول العالم. حيث يُعتبر هذا الهجوم من أخطر الهجمات التي حدثت حتى يومنا هذا. 
+**سيناريو #4 هجوم سلسلة التوريد عبر polyfill.io:**  
+يُعد حادث polyfill.io مثالًا حديثًا وواسع النطاق على هجمات سلسلة التوريد التي تستهدف سلامة البرامج والبيانات. في هذا الحادث، انتهت صلاحية نطاق polyfill.io، والذي كان يُستخدم على نطاق واسع لتقديم شيفرات JavaScript عبر شبكات توصيل المحتوى (CDNs). وبعد استحواذ جهة خبيثة على النطاق، تم حقن شيفرات JavaScript ضارة في المحتوى المُقدَّم، مما أدى إلى تأثر أكثر من 100,000 موقع إلكتروني حول العالم دون علم مالكيها.
+
+يُبرز هذا الهجوم مخاطر الثقة العمياء في شيفرات الطرف الثالث والمصادر الخارجية، ويُظهر كيف يمكن أن يؤدي الاعتماد غير المُراقَب على CDNs إلى اختراق واسع النطاق دون استهداف مباشر للتطبيقات نفسها.
+
+للحد من هذه المخاطر، ينبغي على المؤسسات تطبيق آليات التحقق من سلامة الشيفرات مثل Subresource Integrity (SRI)، واستخدام التواقيع الرقمية، ومراقبة سلوك شيفرات الطرف الثالث لاكتشاف أي تغييرات غير متوقعة. وتتوافق هذه الممارسات مع متطلبات PCI DSS الإصدار 4.0، خاصة المتطلبات 6.4.3 و11.6.1.
+
 
 ## المصادر
 

2025/docs/assets/css/RC-stylesheet.css

@@ -1,11 +1,25 @@
 /* Styles written here are applied to all URLs have `/2025/` in them */
 article.md-content__inner.md-typeset:before {
     content: "RELEASE CANDIDATE";
-    -webkit-transform: rotate(331deg);
-    -moz-transform: rotate(331deg);
-    -o-transform: rotate(331deg);
+        position: fixed;
+    inset: 0;
+    display: flex;
+    align-items: center;
+    justify-content: center;
+
     transform: rotate(331deg);
     font-size: 10em;
     color: rgba(255, 5, 5, 0.17);
-    position: absolute;
+
+    pointer-events: none;
+    overflow: hidden;
+    max-width: 100%;
+}
+/* Mobile safeguard
+   Hide watermark on small screens to prevent layout breakage */
+
+@media (max-width: 768px) {
+    article.md-content__inner.md-typeset::before {
+        display: none;
+    }
 }

2025/docs/en/0x02_2025-What_are_Application_Security_Risks.md

@@ -11,46 +11,34 @@ Attackers can potentially use many different paths through your application to d
     <strong>Threat Agents</strong>
    </td>
    <td>
-    <strong>Attack \
-Vectors</strong>
+  <strong>Attack Vectors</strong>
    </td>
    <td>
     <strong>Exploitability</strong>
    </td>
    <td>
-    <strong>Likelihood of Missing Security</strong>
-<p style="text-align: center">
-
-    <strong>Controls</strong>
+   <strong>Likelihood of Missing Security Controls</strong>
    </td>
    <td>
-    <strong>Technical</strong>
-<p style="text-align: center">
-
-    <strong>Impacts</strong>
+  <strong>Technical Impacts</strong>
    </td>
    <td>
-    <strong>Business</strong>
-<p style="text-align: center">
-
-    <strong>Impacts</strong>
+  <strong>Business Impacts</strong>
    </td>
   </tr>
   <tr>
    <td>
-    <strong>By environment, \
-dynamic by situation picture</strong>
+  <strong>By environment, dynamic by situation picture</strong>
+
    </td>
    <td>
-    <strong>By Application  exposure (by environment</strong>
+   <strong>By Application exposure (by environment)</strong>
    </td>
    <td>
     <strong>Avg Weighted Exploit</strong>
    </td>
    <td>
-    <strong>Missing Controls \
-by average Incidence rate \
-Weighed by coverage</strong>
+  <strong>Missing Controls by average incidence rate weighted by coverage</strong>
    </td>
    <td>
     <strong>Avg Weighted Impact</strong>
@@ -62,7 +50,8 @@ Weighed by coverage</strong>
 </table>
 
 
-In our Risk Rating we have taken into account the universal parameters of expoitability, average likelihood of missing security controls for a weakness and its technical impacts. 
+In our Risk Rating, we have taken into account the universal parameters of exploitability
+, average likelihood of missing security controls for a weakness and its technical impacts. 
 
 Each organization is unique, and so are the threat actors for that organization, their goals, and the impact of any breach. If a public interest organization uses a content management system (CMS) for public information and a health system uses that same exact CMS for sensitive health records, the threat actors and business impacts can be very different for the same software. It is critical to understand the risk to your organization based on the exposure of the application, the applicable threat agents by situation picture (for targeted and undirected attacks by business and location) and the individual business impacts.