اختبار اختراق متقدم (Pentest) لتطبيق بنكي وواجهات برمجة التطبيقات (APIs)

قمت بتنفيذ تقييم أمني شامل واختبار اختراق (Manual Penetration Testing) لتطبيق خدمات مالية حساس (Android) والواجهات الخلفية (APIs) المرتبطة به.

لم أعتمد على الفحص الآلي، بل قمت بتطبيق هندسة عكسية (Reverse Engineering) متقدمة، وتخطي آليات التشويش (Obfuscation)، واستخدام الحقن الديناميكي عبر إطار عمل (Frida). نجحت في استخراج مفاتيح التشفير (HMAC-SHA256) من ذاكرة التطبيق، مما مكنني من اكتشاف 17 ثغرة أمنية، منها 6 ثغرات حرجة (Critical) شملت:

تزوير الطلبات المالية (API Request Forgery).

التلاعب بقيم الحوالات المالية (Amount Manipulation).

تجاوز صلاحيات الوصول (IDOR).

المخرج كان تقريراً احترافياً بمعايير CVSS يحتوي على خطوات إعادة الإنتاج وطرق الترقيع الجذرية. (التقرير المرفق منقح لضمان سرية العميل).