حابب تتعلم الأمن السيبراني او البرمجه انا باخذك من الصفر حتى الاحتراف و اساعدك خطوه بخطوه حتى النهايه و تحقق أهدافك العمليه التفاصيل من هنا
@Ninja_404_X
@Ninja_404_X
@Ninja_404_X
@Ninja_404_X
❤4
عندما تنشئ موقعك بالذكاء الاصطناعي… انتبه جيدًا لهذه النقاط 🚨
👈اليوم يمكنك إنشاء موقع أو تطبيق كامل بالذكاء الاصطناعي خلال ساعات:
Frontend جاهز، Backend تلقائي، APIs مولَّدة، Bots وAI Agents تعمل مباشرة.
⚠️ لكن الحقيقة التي لا يقولها لك أحد:
الذكاء الاصطناعي يسرّع البناء…ولا يضمن الأمان.
❌ أخطر ما يتم تجاهله عند بناء موقع بالذكاء الاصطناعي
☝️ المصادقة (Authentication)
تأكد أن كل Endpoint محمي:
Tokens صالحة بمدة محدودة
Refresh Tokens آمنة
لا Endpoint مفتوحة “للاختبار”
❌ إهمالها → دخول غير مصرح به واختراق حسابات.
✌️التفويض الدقيق (Authorization)
لا تمنح صلاحيات عامة:
فرّق بين User / Admin / Agent
استخدم Roles وScopes واضحة
❌ غير ذلك → تصعيد صلاحيات وتسريب شامل.
👌 IDOR (التحقق من الملكية)
جرّب تغيير ID في الرابط:
/api/users/123
هل يسمح بالوصول؟
❌ إذا نعم → بيانات الجميع مكشوفة.
✌️✌️ Rate Limiting وQuotas
الـ AI لا يتعب:
جرّب آلاف الطلبات في ثوانٍ
Scraping تلقائي
Brute Force مستمر
❌ بدون حدود → انهيار الخدمة أو تسريب البيانات.
🖐️ التحقق من المدخلات (Input Validation)
لا تثق:
بالـ Frontend
ولا بالـ AI
ولا بالـ Bot
❌ بدون Validation → Injection وتلاعب بالمنطق.
🖐️☝️ Mass Assignment
انتبه للحقول التي تُقبل في الطلبات:
role
status
balance
isAdmin
❌ إهمالها → تعديل بيانات حساسة بلا صلاحية.
🖐️✌️ CORS وHeaders
إعدادات افتراضية خاطئة:
CORS مفتوح
Headers ناقصة
❌ النتيجة → سرقة Tokens وتنفيذ طلبات خبيثة.
🖐️👌 Logs & Monitoring
هل تسجّل:
من طلب؟
ماذا طلب؟
متى؟
❌ بدون Logs → لا كشف، لا تحقيق، لا دليل.
🖐️✌️✌️ API Gateway
لا تترك الأمن موزّعًا:
Auth
Rate Limit
Security Rules
Monitoring
❌ بدون Gateway → فوضى وثغرات قاتلة.
🖐️🖐️ APIs الخاصة بالذكاء الاصطناعي
Endpoints الخاصة بـ:
Bots
Agents
Models
يجب أن تكون:
معزولة
محدودة الصلاحيات
مراقبة بشدة
❌ إهمالها → استغلال ذكي وسريع.
🖐️🖐️☝️ إعادة الاستخدام والـ Replay
هل يمكن إعادة إرسال نفس الطلب؟
❌ بدون حماية → Replay Attacks وتلاعب بالعمليات.
🖐️🖐️✌️ التوثيق (API Docs)
توثيق مفتوح أو زائد عن الحد = خريطة للمهاجم.
❌ إهماله → اكتشاف Endpoints بسهولة.
👏 الخلاصة
الذكاء الاصطناعي يبني لك الموقع.
لكن هو لا يحميك.
📌 في عصر الـ AI: الهجوم أسرع…وأذكى…
وأقسى.
👈 أمّن الـ API قبل الإطلاق،
لأنها خط الدفاع الأول.
〰️➖➖➖➖➖➖〰️
https://t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
👈اليوم يمكنك إنشاء موقع أو تطبيق كامل بالذكاء الاصطناعي خلال ساعات:
Frontend جاهز، Backend تلقائي، APIs مولَّدة، Bots وAI Agents تعمل مباشرة.
⚠️ لكن الحقيقة التي لا يقولها لك أحد:
الذكاء الاصطناعي يسرّع البناء…ولا يضمن الأمان.
❌ أخطر ما يتم تجاهله عند بناء موقع بالذكاء الاصطناعي
☝️ المصادقة (Authentication)
تأكد أن كل Endpoint محمي:
Tokens صالحة بمدة محدودة
Refresh Tokens آمنة
لا Endpoint مفتوحة “للاختبار”
❌ إهمالها → دخول غير مصرح به واختراق حسابات.
✌️التفويض الدقيق (Authorization)
لا تمنح صلاحيات عامة:
فرّق بين User / Admin / Agent
استخدم Roles وScopes واضحة
❌ غير ذلك → تصعيد صلاحيات وتسريب شامل.
👌 IDOR (التحقق من الملكية)
جرّب تغيير ID في الرابط:
/api/users/123
هل يسمح بالوصول؟
❌ إذا نعم → بيانات الجميع مكشوفة.
✌️✌️ Rate Limiting وQuotas
الـ AI لا يتعب:
جرّب آلاف الطلبات في ثوانٍ
Scraping تلقائي
Brute Force مستمر
❌ بدون حدود → انهيار الخدمة أو تسريب البيانات.
🖐️ التحقق من المدخلات (Input Validation)
لا تثق:
بالـ Frontend
ولا بالـ AI
ولا بالـ Bot
❌ بدون Validation → Injection وتلاعب بالمنطق.
🖐️☝️ Mass Assignment
انتبه للحقول التي تُقبل في الطلبات:
role
status
balance
isAdmin
❌ إهمالها → تعديل بيانات حساسة بلا صلاحية.
🖐️✌️ CORS وHeaders
إعدادات افتراضية خاطئة:
CORS مفتوح
Headers ناقصة
❌ النتيجة → سرقة Tokens وتنفيذ طلبات خبيثة.
🖐️👌 Logs & Monitoring
هل تسجّل:
من طلب؟
ماذا طلب؟
متى؟
❌ بدون Logs → لا كشف، لا تحقيق، لا دليل.
🖐️✌️✌️ API Gateway
لا تترك الأمن موزّعًا:
Auth
Rate Limit
Security Rules
Monitoring
❌ بدون Gateway → فوضى وثغرات قاتلة.
🖐️🖐️ APIs الخاصة بالذكاء الاصطناعي
Endpoints الخاصة بـ:
Bots
Agents
Models
يجب أن تكون:
معزولة
محدودة الصلاحيات
مراقبة بشدة
❌ إهمالها → استغلال ذكي وسريع.
🖐️🖐️☝️ إعادة الاستخدام والـ Replay
هل يمكن إعادة إرسال نفس الطلب؟
❌ بدون حماية → Replay Attacks وتلاعب بالعمليات.
🖐️🖐️✌️ التوثيق (API Docs)
توثيق مفتوح أو زائد عن الحد = خريطة للمهاجم.
❌ إهماله → اكتشاف Endpoints بسهولة.
👏 الخلاصة
الذكاء الاصطناعي يبني لك الموقع.
لكن هو لا يحميك.
📌 في عصر الـ AI: الهجوم أسرع…وأذكى…
وأقسى.
👈 أمّن الـ API قبل الإطلاق،
لأنها خط الدفاع الأول.
〰️➖➖➖➖➖➖〰️
https://t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
Telegram
Muhammad Alush
مبرمج ويب 👨💻، محب للتقنية 🧑🏫| #أمن_المعلومات | #الأمن_السيبراني | #الشبكات | #توعية_أمنية.
حسابي تويتر https://twitter.com/MhamadAlush0997
حسابي تويتر https://twitter.com/MhamadAlush0997
❤6
☀️ صباح الناس البتحب النظام قبل القهوة 📂
النهارده نحيّي واحد من أقدم لاعبي الشبكات…
هادئ، عملي، وما بحب اللف والدوران 😎
🚀 FTP – File Transfer Protocol
عندك ملفات؟
عايز توديها لسيرفر؟
FTP يقول ليك:
«هات اليوزر والباس… والباقي شغل شبكات محترم» 💼
🔹 شنو بعمل؟ ✔️ ينقل ملفات بين Client و Server
✔️ يعتمد على Username & Password
✔️ يشتغل على:
Port 21 → أوامر
Port 20 → داتا 📡
⚙️ أوامر سريعة: ls عرض الملفات
get تحميل
put رفع
bye خروج 👋
⚠️ ملاحظة مهمة: FTP ما مُشفّر ❌
في الشغل الحقيقي استخدم
🔐 SFTP / FTPS
زمان بدون FTP؟
كان نقل الملفات وجع راس 😅
ابدأ يومك زي الـ FTP ✨
هادئ، منظم، ويوصل الحاجة لمكانها الصح 🔥
〰️➖➖➖➖➖➖〰️
https://t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
النهارده نحيّي واحد من أقدم لاعبي الشبكات…
هادئ، عملي، وما بحب اللف والدوران 😎
🚀 FTP – File Transfer Protocol
عندك ملفات؟
عايز توديها لسيرفر؟
FTP يقول ليك:
«هات اليوزر والباس… والباقي شغل شبكات محترم» 💼
🔹 شنو بعمل؟ ✔️ ينقل ملفات بين Client و Server
✔️ يعتمد على Username & Password
✔️ يشتغل على:
Port 21 → أوامر
Port 20 → داتا 📡
⚙️ أوامر سريعة: ls عرض الملفات
get تحميل
put رفع
bye خروج 👋
⚠️ ملاحظة مهمة: FTP ما مُشفّر ❌
في الشغل الحقيقي استخدم
🔐 SFTP / FTPS
زمان بدون FTP؟
كان نقل الملفات وجع راس 😅
ابدأ يومك زي الـ FTP ✨
هادئ، منظم، ويوصل الحاجة لمكانها الصح 🔥
〰️➖➖➖➖➖➖〰️
https://t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
❤3🔥2🥰1
هاي الاداة بتخليك تعمل هندسة عكسية من خبال متصفح وبشكل مباشر
https://github.com/indalok/rzweb
🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦
t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
https://github.com/indalok/rzweb
t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5
اصحاب قنوات التلغرام اللي مستخدمين نظرية القطيع وعم يشيلو صور بروفايل القناة
لا وجود لمثل هذا الكلام نفترض وجود هكذا ثغرة خطيرة في تلغرام كيف يمكن للشركة ان لا تعالجها؟
طالما خطورتها كبيرة الشركة ببساطه تقطع النت عن كافة مستخدمي التطبيق وتعمل على سد الخلل والثغرة وبعد الانتهاء يعود التطبيق للعمل
🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦
t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
لا وجود لمثل هذا الكلام نفترض وجود هكذا ثغرة خطيرة في تلغرام كيف يمكن للشركة ان لا تعالجها؟
طالما خطورتها كبيرة الشركة ببساطه تقطع النت عن كافة مستخدمي التطبيق وتعمل على سد الخلل والثغرة وبعد الانتهاء يعود التطبيق للعمل
`خلاصة الحديث ان هذا الكلام غير صحيح.```t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👏2🤣2👍1🤯1
Please open Telegram to view this post
VIEW IN TELEGRAM
سؤال سريع ماهو Port المسؤول عن الاتصال الآمن بالمواقع؟
Anonymous Poll
37%
A ) 80
56%
B ) 443
6%
C )21
❤9
أصعب شعور…
إنك تكون لعبة بين يدين شخص،
يحركك وقت ما يحب،
ويقربك لما يحتاجك،
ويبعدك لما يملّ منك…
تضحك له من قلبك،
وهو يتعامل معك كأنك خيار مؤقت،
مو شخص له قيمة.
إنك تكون لعبة بين يدين شخص،
يحركك وقت ما يحب،
ويقربك لما يحتاجك،
ويبعدك لما يملّ منك…
تضحك له من قلبك،
وهو يتعامل معك كأنك خيار مؤقت،
مو شخص له قيمة.
💔9❤1
مؤلم جدًا أن تمضي ست سنوات من عمرك، ثم تكتشف في النهاية أنك لم تكن شيئًا يُذكر… فقط كنت تحاول، وتتعب، وتؤمن… بلا نتيجة.
❤9💔2👍1
أسلوب جديد للابتزاز الإلكتروني يستهدف المستخدمين
التفاصيل: رصد خبراء أمن المعلومات موجة جديدة من هجمات "الهندسة الاجتماعية" التي تعتمد على انتحال شخصية الأصدقاء عبر تطبيقات (فيسبوك وواتساب)
تعتمد الحيلة على إجراء مكالمة فيديو مفاجئة من حساب مخترق لصديق مقرب وبمجرد فتح الضحية للكاميرا يتم عرض محتوى خادش للحياء وتصوير شاشة المستخدم لابتزازه لاحقاً بمقاطع مفبركة
توصيات مركز أمن المعلومات✔️
نصية أو اتصال صوتي أولا"
"احم نفسك لتحمي عائلتك ..الأمان يبدأ بضغطة زر."
t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤3🤣1
تشير الدراسات في علم إدارة الأنظمة إلى أنه عند ثبوت تسبب قاعدة بيانات معينة في تلف البنية التشغيلية للنظام وفقدان استقراره، يصبح من الضروري اتخاذ قرار جذري بحذفها نهائيًا من الذاكرة ومسح جميع ملفاتها المرتبطة. إن الإبقاء على بيانات تالفة يؤدي إلى أخطاء متكررة ويمنع النظام من التعافي والعمل بكفاءة.
وعليه، توصي هذه الدراسة بضرورة “حرق” قواعد البيانات التي ثبت ضررها، كإجراء وقائي يهدف إلى حماية النظام وإتاحة مساحة لبيانات أكثر أمانًا واستقرارًا. فالتخلص من المصدر المسبب للخلل ليس خسارة، بل خطوة أساسية لاستعادة التوازن ومنع تكرار الأعطال مستقبلًا.
〰️➖➖➖➖➖➖〰️
https://t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
وعليه، توصي هذه الدراسة بضرورة “حرق” قواعد البيانات التي ثبت ضررها، كإجراء وقائي يهدف إلى حماية النظام وإتاحة مساحة لبيانات أكثر أمانًا واستقرارًا. فالتخلص من المصدر المسبب للخلل ليس خسارة، بل خطوة أساسية لاستعادة التوازن ومنع تكرار الأعطال مستقبلًا.
〰️➖➖➖➖➖➖〰️
https://t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
🔥5❤1👏1
المستقبل ليس فقط:
"ذكاء اصطناعي يتحدث."
بل أصبح:
ذكاءً اصطناعي يعمل وينفّذ المهام.
في البداية كان التركيز على كتابة الـ Prompts وطرح الأسئلة على النماذج.
لكن الاتجاه الحقيقي اليوم يتجه نحو أنظمة الوكلاء (Agent-First Systems).
🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦
t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
"ذكاء اصطناعي يتحدث."
بل أصبح:
ذكاءً اصطناعي يعمل وينفّذ المهام.
في البداية كان التركيز على كتابة الـ Prompts وطرح الأسئلة على النماذج.
لكن الاتجاه الحقيقي اليوم يتجه نحو أنظمة الوكلاء (Agent-First Systems).
t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍2
⚠️ ملاحظة تقنية مهمة بخصوص تطبيق Sham Cash #شام_كاش
خلال الساعات الماضية لاحظ كثير من المستخدمين توقف تطبيق Sham Cash لفترة قصيرة، وهذا الشي فتح باب كبير للنقاش حول البنية التقنية للتطبيق ومدى جاهزيته ليكون منصة مالية يعتمد عليها الناس يومياً.
المشكلة الأساسية مو بس بالتوقف نفسه، بل بعدة نقاط لازم تنحكى بصراحة:
أولاً، رغم أن التطبيق معتمد للتعاملات المالية، إلا أن تطويره وإدارته ليست ضمن بنية حكومية أو مصرفية رسمية بالكامل، وهذا الشي ممكن يخلق تساؤلات حول الحوكمة التقنية وإدارة المخاطر.
ثانياً، التطبيق غير متوفر على المتاجر الرسمية مثل Google Play وApple App Store، وهذا بحد ذاته ممكن يقلل من ثقة المستخدمين، لأن هذه المتاجر توفر طبقات من الفحص الأمني والتحديثات الموثوقة.
ثالثاً، ما حدث اليوم يبين أن البنية التحتية التقنية للتطبيق قد تكون بحاجة لتعزيز، لأن أي مشكلة بالدومين أو الاستضافة ممكن توقف الخدمة بالكامل، وهذا أمر حساس جداً لما يكون التطبيق مرتبط برواتب الناس وتحويلاتهم المالية.
💡 لذلك من المهم التفكير ببعض الحلول العملية:
• نقل الاستضافة إلى بنية تحتية احترافية مع أنظمة حماية قوية (مثل (CDN، DDoS Protection، DNS redundancy).
• نشر التطبيق بشكل رسمي على Google Play وApple App Store لضمان الأمان والثقة وسهولة التحديث.
• إجراء تدقيق أمني شامل واختبارات اختراق دورية للتأكد من سلامة النظام(Security Adult) .
• إنشاء بنية احتياطية (Backup Systems) تضمن استمرار الخدمة حتى في حال حدوث أعطال تقنية.
• إشراف تقني أو مالي رسمي يضمن تطبيق معايير الأمان الخاصة بالأنظمة المالية.
التحول الرقمي خطوة مهمة جداً، لكن نجاحه يعتمد على بنية تقنية قوية وأمان عالي حتى تكون أموال الناس وبياناتهم محفوظة بشكل كامل.
🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦
t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
خلال الساعات الماضية لاحظ كثير من المستخدمين توقف تطبيق Sham Cash لفترة قصيرة، وهذا الشي فتح باب كبير للنقاش حول البنية التقنية للتطبيق ومدى جاهزيته ليكون منصة مالية يعتمد عليها الناس يومياً.
المشكلة الأساسية مو بس بالتوقف نفسه، بل بعدة نقاط لازم تنحكى بصراحة:
أولاً، رغم أن التطبيق معتمد للتعاملات المالية، إلا أن تطويره وإدارته ليست ضمن بنية حكومية أو مصرفية رسمية بالكامل، وهذا الشي ممكن يخلق تساؤلات حول الحوكمة التقنية وإدارة المخاطر.
ثانياً، التطبيق غير متوفر على المتاجر الرسمية مثل Google Play وApple App Store، وهذا بحد ذاته ممكن يقلل من ثقة المستخدمين، لأن هذه المتاجر توفر طبقات من الفحص الأمني والتحديثات الموثوقة.
ثالثاً، ما حدث اليوم يبين أن البنية التحتية التقنية للتطبيق قد تكون بحاجة لتعزيز، لأن أي مشكلة بالدومين أو الاستضافة ممكن توقف الخدمة بالكامل، وهذا أمر حساس جداً لما يكون التطبيق مرتبط برواتب الناس وتحويلاتهم المالية.
💡 لذلك من المهم التفكير ببعض الحلول العملية:
• نقل الاستضافة إلى بنية تحتية احترافية مع أنظمة حماية قوية (مثل (CDN، DDoS Protection، DNS redundancy).
• نشر التطبيق بشكل رسمي على Google Play وApple App Store لضمان الأمان والثقة وسهولة التحديث.
• إجراء تدقيق أمني شامل واختبارات اختراق دورية للتأكد من سلامة النظام(Security Adult) .
• إنشاء بنية احتياطية (Backup Systems) تضمن استمرار الخدمة حتى في حال حدوث أعطال تقنية.
• إشراف تقني أو مالي رسمي يضمن تطبيق معايير الأمان الخاصة بالأنظمة المالية.
التحول الرقمي خطوة مهمة جداً، لكن نجاحه يعتمد على بنية تقنية قوية وأمان عالي حتى تكون أموال الناس وبياناتهم محفوظة بشكل كامل.
t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍2
#للسوريين
اشتهيت < واحد فقط > من هالخبراء الأمن السِبرانيِّن يلي مَاشاء الله مَعبيين البلد , | أنو يحكي صح مع أدلة مثبتة وليس كلام نظري وهرائات | !!
التطبيق المالي يلي ضَاجت عليه الدنيا : ( شام كاش ) .
تم ايقاف الدومين .com بسبب بلاغ نصب و احتيال لـ استضافة " Hostinger " يعني لا قصة اختراق ولا تهكير .!!
فريق الدعم القائم على التطبيق : حول الدومين من .Com الى .Sy
وصار النطاق تحت ادارة الدومين السوري !
بشأن ~ الخبراء السبرانين وكلامهم النظري عن التطبيق ~ :
اليكم التالي :
التطبيق ضعيف وفيه ثغرات جداً ما أختلفنا بس هل منكم قدر يوصل للبنية التحتية للتطبيق ؟؟
الجواب لا . معناتى كلامكم نظري بحت .
تانياً : بظل الظروف يلي مرت فيه سوريا هادا التطبيق ساعد الناس على " قضاء حوائجهم ودخلهم وهالشي ترفع له القبعة !
ومشان الناس يلي عم تقول تطبيق مو موثوق " لاتنسو أنو على سوريا لحد الآن ما ارتفع نظام العقوبات المالي" SWIFT " على البنوك السورية و التطبيقات ..
لهادا السبب التطبيق مابيقدر ينزل على منصات موثوقة متل : Google Play و App Store
تالتاً و الأهم :
الثغرات يلي موجودة بالتطبيق بشكل عملي :
1- معلومات المطور ومسارات البناء (تسريبات النظام):
مسارات بناء التطبيق الأصلية من جهاز المطور "عبد المالك"
مسار الصور: C:/Users/abdulmalek/Desktop/Globe/N*
مسار الحالة (State): package:sham_cash/features/home/presentation/***
2-مفتاح التشفير (AES Key):
هو المسؤول عن تشفير كل البيانات المرسلة والمستقبلة:
المفتاح المستخرج: *p8XRK/B*==
3-المفتاح العام (RSA Public Key):
شغلت المفتاح : هو المسؤول عن حماية الاتصال (SSL Pinning) والتحقق من هوية السيرفر:
بداية المفتاح: -----BEGIN RSA PUBLIC KEY-----
المحتوى: MIIBCgKCAQEAtXdO+**
4. توقيع المفتاح الخاص داخل الملف الثنائي:
المفتاح الخاص : وهادا أخطر شي بسبب هو المسؤول عن التوقيع الرقمي لتطبيق :
الموقع: مرتبط بدالة *ace
المحتوى: -----BEGIN PRIVATE KEY----- **
5. نقاط النهاية المالية والتوثيق (Endpoints):
مارح حطهم هون !!
6. الدوال البرمجية الحساسة (الرصيد والتحقق):
تحديد الدوال المسؤولة عن منطق التحقق من الـ OTP
دالة التحقق: che**ess
دالة الرصيد: _Bal**Json
حالة التحديث: UpdateCo*uccess()
شو معنى الكلام يلي فوق وشو باثر على آمان التطبيق :
1. كسر سرية البيانات بالكامل (Total Data Decryption) :
الخطورة: انعدام خصوصية المستخدمين بنسبة 100%.
2. تجاوز حماية الهوية (Authentication Bypass) :
الخطورة: إمكانية الدخول لحسابات المستخدمين دون الحاجة لامتلاك هواتفهم.
3. التلاعب بالعمليات المالية (Financial Integrity Compromise) :
الخطورة: خسائر مادية مباشرة للمستخدمين وللشركة المشغلة.
4. انتحال صفة التطبيق (Application Impersonation) :
الخطورة: فقدان الثقة الكامل في البنية التحتية للتطبيق.
5. الهندسة الاجتماعية واستهداف المطورين :
تسريب مسارات الجهاز الخاص بالمطور (Abdulmalek):
الخطورة: اختراق الشركة من الداخل (Inside-out Attack).
التوصيف الثغرات :
1- كشف كافة البيانات المشفرة.
السرية (Confidentiality) High
2- إمكانية التلاعب بالطلبات المالية والـ OTP.
النزاهة (Integrity) Critical
3- إمكانية تعطيل الحسابات عبر طلبات Logout متكررة.
التوافر (Availability) Medium
4- نظام مالي غير آمن بنيوياً.
التصنيف النهائي CRITICAL
🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦 🟦
t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
اشتهيت < واحد فقط > من هالخبراء الأمن السِبرانيِّن يلي مَاشاء الله مَعبيين البلد , | أنو يحكي صح مع أدلة مثبتة وليس كلام نظري وهرائات | !!
التطبيق المالي يلي ضَاجت عليه الدنيا : ( شام كاش ) .
تم ايقاف الدومين .com بسبب بلاغ نصب و احتيال لـ استضافة " Hostinger " يعني لا قصة اختراق ولا تهكير .!!
فريق الدعم القائم على التطبيق : حول الدومين من .Com الى .Sy
وصار النطاق تحت ادارة الدومين السوري !
بشأن ~ الخبراء السبرانين وكلامهم النظري عن التطبيق ~ :
اليكم التالي :
التطبيق ضعيف وفيه ثغرات جداً ما أختلفنا بس هل منكم قدر يوصل للبنية التحتية للتطبيق ؟؟
الجواب لا . معناتى كلامكم نظري بحت .
تانياً : بظل الظروف يلي مرت فيه سوريا هادا التطبيق ساعد الناس على " قضاء حوائجهم ودخلهم وهالشي ترفع له القبعة !
ومشان الناس يلي عم تقول تطبيق مو موثوق " لاتنسو أنو على سوريا لحد الآن ما ارتفع نظام العقوبات المالي" SWIFT " على البنوك السورية و التطبيقات ..
لهادا السبب التطبيق مابيقدر ينزل على منصات موثوقة متل : Google Play و App Store
تالتاً و الأهم :
الثغرات يلي موجودة بالتطبيق بشكل عملي :
1- معلومات المطور ومسارات البناء (تسريبات النظام):
مسارات بناء التطبيق الأصلية من جهاز المطور "عبد المالك"
مسار الصور: C:/Users/abdulmalek/Desktop/Globe/N*
مسار الحالة (State): package:sham_cash/features/home/presentation/***
2-مفتاح التشفير (AES Key):
هو المسؤول عن تشفير كل البيانات المرسلة والمستقبلة:
المفتاح المستخرج: *p8XRK/B*==
3-المفتاح العام (RSA Public Key):
شغلت المفتاح : هو المسؤول عن حماية الاتصال (SSL Pinning) والتحقق من هوية السيرفر:
بداية المفتاح: -----BEGIN RSA PUBLIC KEY-----
المحتوى: MIIBCgKCAQEAtXdO+**
4. توقيع المفتاح الخاص داخل الملف الثنائي:
المفتاح الخاص : وهادا أخطر شي بسبب هو المسؤول عن التوقيع الرقمي لتطبيق :
الموقع: مرتبط بدالة *ace
المحتوى: -----BEGIN PRIVATE KEY----- **
5. نقاط النهاية المالية والتوثيق (Endpoints):
مارح حطهم هون !!
6. الدوال البرمجية الحساسة (الرصيد والتحقق):
تحديد الدوال المسؤولة عن منطق التحقق من الـ OTP
دالة التحقق: che**ess
دالة الرصيد: _Bal**Json
حالة التحديث: UpdateCo*uccess()
شو معنى الكلام يلي فوق وشو باثر على آمان التطبيق :
1. كسر سرية البيانات بالكامل (Total Data Decryption) :
الخطورة: انعدام خصوصية المستخدمين بنسبة 100%.
2. تجاوز حماية الهوية (Authentication Bypass) :
الخطورة: إمكانية الدخول لحسابات المستخدمين دون الحاجة لامتلاك هواتفهم.
3. التلاعب بالعمليات المالية (Financial Integrity Compromise) :
الخطورة: خسائر مادية مباشرة للمستخدمين وللشركة المشغلة.
4. انتحال صفة التطبيق (Application Impersonation) :
الخطورة: فقدان الثقة الكامل في البنية التحتية للتطبيق.
5. الهندسة الاجتماعية واستهداف المطورين :
تسريب مسارات الجهاز الخاص بالمطور (Abdulmalek):
الخطورة: اختراق الشركة من الداخل (Inside-out Attack).
التوصيف الثغرات :
1- كشف كافة البيانات المشفرة.
السرية (Confidentiality) High
2- إمكانية التلاعب بالطلبات المالية والـ OTP.
النزاهة (Integrity) Critical
3- إمكانية تعطيل الحسابات عبر طلبات Logout متكررة.
التوافر (Availability) Medium
4- نظام مالي غير آمن بنيوياً.
التصنيف النهائي CRITICAL
t.me/MuhammadAlush0997
تابعني على :
Telegram | instagram | facebook | Twitter | YouTube
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤2