Mohamed H.

نبذة:

في هذا المشروع، قمت بإجراء اختبار اختراق شامل لموقع إلكتروني وتمكنت من اكتشاف ثغرتين رئيسيتين هما XSS (Cross-Site Scripting) و SQL Injection.

الخطوات المتبعة:

جمع المعلومات (Information Gathering): استخدمت أدوات مثل Nmap و Dirbuster لاستكشاف البنية التحتية للموقع واكتشاف مسارات ونقاط إدخال.

تحليل الطلبات والاستجابات (Request/Response Analysis): باستخدام Burp Suite لتحليل ومعالجة الطلبات الصادرة من وإلى الخادم.

اختبار XSS:

حقنت أكواد JavaScript في نقاط الإدخال مثل نماذج التعليقات وحقول البحث.

استخدمت OWASP ZAP لفحص الحقن العكسي واكتشاف الثغرات.

اختبار SQL Injection:

استخدمت أداة SQLMap لاختبار استغلال استعلامات SQL غير المؤمنة.

قمت بتحليل استجابة الخادم للتحقق من إمكانية سحب البيانات أو تعديلها.

الأدوات المستخدمة:

Burp Suite (لتحليل وتعديل الطلبات)

OWASP ZAP (لفحص ثغرات XSS)

SQLMap (لاكتشاف واستغلال ثغرات SQL Injection)

Nmap و Dirbuster (للجمع المعلوماتي)

نبذة:

في اختبار اختراق آخر، قمت بتحديد ثغرات تتعلق بـ Component with Known Vulnerability و Sensitive Data Disclosure في الموقع المستهدف.

الخطوات المتبعة:

مسح المكونات الخارجية (Component Scanning):

استخدمت أداة OWASP Dependency-Check لفحص مكتبات ومكونات الطرف الثالث المستخدمة في الموقع، مما ساعدني على اكتشاف مكونات تحتوي على ثغرات أمنية معروفة.

تحليل التسريبات (Sensitive Data Disclosure):

قمت بتحليل ملفات التكوين والسجلات باستخدام Burp Suite و Nikto.

اكتشفت بيانات حساسة مثل مفاتيح API وأسماء مستخدمين مخزنة في ملفات مرئية للعامة أو غير محمية بشكل جيد.

اختبار تكامل الأمان: تحققت من كيفية تعامل التطبيق مع البيانات الحساسة وقمت بمحاولة الوصول غير المصرح به إلى هذه البيانات.

الأدوات المستخدمة:

OWASP Dependency-Check (للتعرف على المكونات المعرضة للخطر)

Burp Suite و Nikto (للتحليل واكتشاف تسريبات البيانات الحساسة)

Wappalyzer (لتحديد التقنيات والمكونات المستخدمة في الموقع)

خريج المعهد التكنولجي العالي 2020-2024