اختبار اختراق لتطبيق ويب
تفاصيل المشروع
التركيز على الثغرات الحرجة (وفق OWASP Top 10):
حقن SQL (SQL Injection): فحص نقاط النهاية القابلة للاستعلام.
XSS (Cross-site Scripting): اختبار البحث، التقييمات، وواجهات الـ Builder.
CSRF (Cross-site Request Forgery): التركيز على واجهات التبديل (Toggle endpoints).
كسر آليات المصادقة وتجاوز تسجيل الدخول: التحقق من إدارة الجلسات (JWT)، إعادة استخدام الرموز، وضعف آليات استعادة كلمة المرور.
الوصول غير المصرّح (IDOR / Broken Access Control): محاولة الوصول إلى بيانات مستخدمين آخرين.
تجاوز المسارات (File/Path Traversal): اختبار مسارات رفع الملفات (S3).
فحص سوء التهيئة الأمنية
الرؤوس الأمنية (HTTP Headers & Config):
غياب أو ضعف CSP، HSTS، X-Frame-Options، X-Content-Type-Options.
إعدادات TLS/SSL:
اختبار الخوارزميات الضعيفة، الشهادات المنتهية، وهجمات الـ Downgrade.
لوحات الإدارة/التصحيح (Admin/Debug Panels):
تنفيذ محاولات Fuzzing.
معالجة الأخطاء (Error Handling):
إثارة الأخطاء المتعمدة لمعرفة ما إذا كان التطبيق يكشف عن Stack traces أو تفاصيل داخلية.
التخزين السحابي (Cloud Storage):
التحقق من صلاحيات S3 (قوائم الملفات، صلاحيات ACL).
مخرجات التقرير النهائي
تقرير PDF منظم يحتوي على:
قائمة الثغرات مع تقييم الخطورة وفق CVSS v3.1 (حرج، عالي، متوسط، منخفض).
لقطات شاشة وأدلة (Request/Response) لسهولة إعادة الإنتاج.
ملخص تنفيذي موجّه للإدارة (غير تقني).
توصيات إصلاحية موجزة موجّهة للمطورين (Snippets، رؤوس HTTP، سياسات التحقق من المدخلات).
مراجعة ما بعد التدقيق
جلسة مراجعة (60 دقيقة) مع، تتضمن:
شرح مفصل لأهم الثغرات المكتشفة.
ترتيب أولويات الإصلاح (إصلاحات عاجلة مقابل طويلة الأمد).
جلسة أسئلة وأجوبة مخصصة لفريق التطوير والإدارة.
الأدوات والمنهجية
أدوات آلية (Recon/Scanning):
Nmap → لفحص المنافذ والخدمات.
Nikto → لاكتشاف سوء التهيئة الأساسية.
SSLyze / testssl.sh → لاختبارات TLS/SSL.
أدوات تطبيقات الويب:
Burp Suite Pro / OWASP ZAP → للفحص اليدوي والآلي (SQLi/XSS).
Dirbuster / ffuf → لاكتشاف المسارات والـ Endpoints المخفية (باستخدام الـ Enum والـ Ososs).
اختبار يدوي (حرج):
التلاعب بالمعاملات (Parameter tampering).
فحص الوصول غير المصرّح (IDOR).
تصعيد الصلاحيات (Privilege escalation).
استغلال منطق الأعمال (Business logic abuse) في الطلبات والتطبيقات والتقييمات.
العروض المقدمة
Yasmine A.
مرحبا أستاذي الكريم، معك المهندسة ياسمين بخبرة أكثر من 5 سنوات أعلم أن أمامك الكثير من العروض، لكن خليني أقول لك لماذا سيكون اختيارك لي هو القرار الأكثر نجاحا ب...
رزان م.
السلام عليكم اخي العزيز، ساوضح لك بالتفصيل ماذا سيمكنني العمل عند بدء المشوع ولو سمحت اعطيني رابط الوقع الخاص بك، معك مهندسة امن معلومات محوسبة وخبرتي تزيد عن خ...
Abdelillah C.
السلام عليكم ورحمه الله وبركاته ان شاء الله يمكنني تنفيذ طلبك بكل احترافيه,تخصصي هو DevSecOps/Cloud سبق أن نفذت مشاريع مشابهة، ويمكنك الاطلاع على تقييمي وأعمالي...
غيث ح.
السلام عليكم أستاذ محمد، أنا غيث، مختص في اختبار الاختراق وتقييم أمان تطبيقات الويب، بخبرة عملية في أدوات مثل Burp Suite Pro، OWASP ZAP، وNmap. سأقوم بتنفيذ فحص...
علي ا.
السلام عليكم ورحمة الله وبركاته معك مهندس علي مختص penetration test للويب والانظمة وتطبيقات الموبايل بخبرة ٧ سنوات تقريبا مع ايجاد عدد من الثغرات في منصات على h...
Abdelkarim M.
السلام عليكم، أنا باحث أمني ومتخصص في اختبار الاختراق، أمتلك خبرة عملية مثبتة في اكتشاف ومعالجة الثغرات عالية الخطورة لدى شركات كبرى مثل Tesla (XSS)، RedBull (R...
مروان ح.
السلام عليكم، أنا مروان حاتم، مبرمج ومختص في تطوير وصيانة الأنظمة الإلكترونية، بالإضافة إلى خبرة عملية في التدقيق الأمني واختبارات الاختراق وفق معايير OWASP Top...
Mohammed A.
السلام عليكم أ. محمد، يسعدني التقدم لتنفيذ مشروع اختبار الاختراق المطلوب، وأؤكد لكم أن خبرتي تجمع بين الجانب التقني العميق والمنهجية الاستشارية التي تترجم النتا...
اسكندر ع.
السلام عليكم معك المهندس اسكندر مهندس امن معلومات اعمل في مجال اختبار الاختراق أقوم بإجراء اختبار اختراق شامل لتطبيقكم، يركز على الثغرات الحرجة وفق OWASP Top 10...
اسلام د.
مرحبا، يسعدني التقديم على مشروعكم الخاص بفحص الثغرات. لدي خبرة عملية مثبتة في اختبار أمان تطبيقات الويب واكتشاف ثغرات حرجة لدى شركات عالمية مثل: Google مذكور رس...
Dhiya Eddine L.
السلام عليكم ورحمة الله وبركاته أنا ضياء الدين، مختص في مجال صيد الثغرات و اختبار الاختراق والتدقيق الأمني مع خبرة تتجاوز 10سنوات في مجال الأمن السيبراني، تطوير...