1. الرئيسية
  2. المستقلين
  3. ملك ا.
  4. معرض الأعمال
اطلب عمل مماثل

الثغرات الأمنية في Mutillidae

تفاصيل العمل

الثغرات الأمنية في Mutillidae
Screenshot…212819.png
Screenshot…212831.png
Screenshot…212843.png
Screenshot…212909.png
Screenshot…212919.png
Screenshot…212929.png
Screenshot…212941.png
Screenshot…212953.png
Screenshot…213002.png
Screenshot…213002.png

حليل أمني عملي وتوثيق استغلال ثغرات في تطبيق Mutillidae (بيئة تعليمية)

ملخص المشروع (سطرين)

نفذت تجربة عملية كاملة على تطبيق الويب التعليمي Mutillidae لاستكشاف واستغلال وتصحيح مجموعة من ثغرات الويب الشائعة في بيئة محكومة وآمنة. هدف المشروع كان إثبات الفجوات، توثيق خطوات إعادة الإنتاج، وتقديم توصيات عملية للإصلاح.

تفاصيل العمل (مختصر ومحترف)

إعداد بيئة اختبارية معزولة لتشغيل Mutillidae (VM / lab) وتأمين أي أثر خارج البيئة.

مسح وتحليل السطح الهجومي للتطبيق يدويًا وبأدوات مساعدة.

تنفيذ استغلال عملي ومُوثّق للثغرات التالية:

Local File Inclusion (LFI) — قراءة ملفات حساسة داخل السيرفر (PoC + خطوات الإصلاح).

Cross-Site Scripting (XSS) — منعكس ومخزّن، مع توضيح مخاطر سرقة الجلسات والتوصيات.

SQL Injection (SQLi) — حقن آمن تعليمي لاستخراج بيانات نموذجية وتوضيح طرق الحماية.

Cross-Site Request Forgery (CSRF) — إثبات إمكانية تنفيذ طلبات مزيّفة وكيفية الحماية.

Command Injection & Reverse Shell — PoC داخل بيئة مختبرية معزولة لإثبات إمكانية تنفيذ أوامر وإظهار تدابير التصحيح.

PII Disclosure — كشف مواقع عرض بيانات شخصية وطرق حمايتها.

IDOR (Insecure Direct Object Reference) — استغلال وصول مباشر لملفات/صفحات (Source Viewer, Credits).

Security Misconfigurations — كشف إعدادات خاطئة وتقديم إصلاحات عملية.

دوري ومسؤولياتي

إجراء الفحص اليدوي والآلي وتحليل الاستجابات والمتغيرات.

بناء PoC واضح (لقطات شاشة، أوامر، استجابات).

تقييم الأثر (Impact) وتصنيف أولويات الإصلاح.

كتابة تقرير تقني شامل يتضمن: وصف الثغرة، خطوات إعادة الإنتاج، تأثيرها، والحلول المقترحة.

تقديم قائمة إجراءات سريعة (Hotfixes) وقائمة طويلة الأمد لتحسين الأمان.

المخرجات والتسليم

تقرير فني PDF مفصل (يتضمن PoC، لقطات شاشة، أوامر).

ملف مختصر (one-page) لأصحاب القرار يتضمن أولويات الإصلاح.

(اختياري) فيديو قصير أو عرض تقديمي يشرح استغلالين أساسيين.

نصائح عملية للتطبيق: input validation، least privilege، secure config، proper error handling، CSRF tokens، prepared statements.

الفائدة للعميل

رؤية واضحة لنقاط الضعف الحقيقية وتأثيرها العملي على التطبيق.

خارطة طريق لإصلاح سريع وفعّال يقلّل من مخاطر التعرض والاختراق.

توثيق جاهز لِـ compliance/internal security reviews.

ملاحظة أخلاقية وقانونية

كل الاختبارات تمت داخل بيئة تجريبية معزولة. لا أجرى اختبارات على أنظمة أو بيانات حقيقية بدون تفويض صريح — كل شغلي يتبع ممارسات الـ ethical hacking.

بطاقة العمل

اسم المستقل
ملك ا.
عدد الإعجابات
0
عدد المشاهدات
1
تاريخ الإضافة
تاريخ الإنجاز
المهارات