تقييم أمني واختبار اختراق متقدم لمنصة تجارة إلكترونية (Web & GraphQL)

قمت بتنفيذ اختبار اختراق شامل (Black-box Pentest) لمنصة تجارة إلكترونية دولية ضخمة.

أبرز التحديات والإنجازات:

لم أكتفِ بالفحص الآلي، بل قمت بتنفيذ هجمات يدوية معقدة شملت:

استغلال ثغرات (GraphQL Alias Attacks) لتخطي أنظمة الحماية وتجربة آلاف كلمات المرور في طلب (HTTP Request) واحد.

اكتشاف إعدادات (CORS) خطيرة تسمح بسرقة الجلسات.

اكتشاف ملفات تحكم تطويرية (Dev Controllers) مكشوفة للعامة.

النتيجة:

قمت ببناء مسار هجوم كامل (Attack Path Reconstruction) يوضح للعميل كيف يمكن دمج هذه الثغرات لاختراق لوحة الإدارة بالكامل، مع تقديم تقرير استشاري يضم 17 ثغرة مقيمة بمعيار CVSS العالمي مع خطوات الترقيع الجذرية. (التقرير المرفق منقح بالكامل لضمان سرية العميل).