Web Application Penetration Testing

في هذا المشروع قمتُ بدور مختبر اختراق (Penetration Tester) لتقييم مستوى الأمان في تطبيق الويب "Farmify"، وهو نظام لإدارة المنتجات الزراعية والبيع عبر الإنترنت. تم تنفيذ اختبار الاختراق باتباع منهجية منظمة شملت الجوانب التالية:

1. جمع المعلومات (Information Gathering)

مراقبة حركة البيانات بين الواجهة الأمامية والخلفية باستخدام أدوات مثل Burp Suite.

تحليل الشبكة باستخدام أدوات مثل Developer Tools وcurl لتحديد نقاط النهاية (API Endpoints).

فحص ملفات JavaScript المستعملة في الموقع لاستخراج واجهات غير موثقة.

2. فحص نقاط النهاية (API Enumeration)

قمنا بتحديد واختبار العديد من واجهات الـ API مثل:

/api/v1/products

/api/v1/users

/api/v1/admin

اختبار الاستجابات، أنواع البيانات المدعومة، والصلاحيات المطلوبة لكل واجهة.

3. التحقق من صلاحيات الوصول (Authorization Testing)

تم تسجيل الدخول باستخدام JWT Token لمستخدم بصلاحيات مدير (Admin).

اختبار الوصول إلى واجهات مخصصة للمشرفين من خلال إرسال التوكن يدوياً باستخدام curl و Burp.

اختبار ما إذا كان يمكن لمستخدم عادي أو غير مصرح له الوصول إلى هذه البيانات.

4. فحص الإدخال والحقن (Injection Testing)

اختبار مدخلات البحث في المنتجات (/products/search) ومحاولة استغلالها بهجمات مثل:

MongoDB Injection

Regex Injection

ملاحظة كيفية تصرف النظام عند إدخال استعلامات خبيثة، حيث تم ملاحظة إعادة تحميل الصفحة بشكل غير طبيعي مما قد يدل على وجود نقطة ضعف في التحقق من المدخلات.

5. فحص التعامل مع الأخطاء (Error Handling)

إرسال طلبات غير صحيحة إلى خوادم API لمراقبة رسائل الخطأ.

ملاحظة استجابات مثل:

500 Internal Server Error

403 Forbidden

401 Unauthorized

مما ساعد في فهم ما إذا كانت هناك مشاكل في المعالجة أو التحقق من الصلاحيات.

6. توثيق النتائج والتوصيات

تم توثيق الثغرات التي تم العثور عليها، مثل:

واجهات غير محمية بشكل كافٍ.

استجابات تحتوي على رسائل خطأ تفصيلية.

قابلية محتملة لحقن قواعد البيانات.

تم تسليم هذه النتائج لفريق البرمجة (Backend) لمعالجتها وتصحيحها قبل تسليم المشروع النهائي.

الأدوات المستخدمة:

Burp Suite

curl

browser DevTools

JWT Inspector

ffuf (لفحص مسارات API)

Postman (لإرسال الطلبات)