اختبار اختراق تطبيقات الويب

تقييم شامل لمنطق تطبيقات الويب، وواجهات برمجة التطبيقات، والمصادقة، والتكاملات.

النطاق الذي نغطية

• المسارات المصادق عليها وغير المصادق عليها (المستخدم — المسؤول)
• إساءة استخدام منطق الأعمال وفواصل IDOR/التحكم في الوصول
• واجهات برمجة التطبيقات الموجودة خلف التطبيق (REST/Webhooks)
• Auth/OAuth/OIDC/SSO، إعادة تعيين كلمة المرور، إدارة الجلسة
• هجمات الإدخال وتحميل الملفات (XSS/SQLI/SSRF/XXE/RCE)
• التجريد، حقن القوالب، الكشف عن الأسرار
• رؤوس الأمان/TLS/CSP؛ حدود المعدل والقوة الغاشمة (On-prem وCloud Servers)
• روابط التخزين السحابي (S3 Blob) وتكامل 3rd-party

منهجيتنا (Ni-it Way)

• نموذج التهديد أولاً (يرتبط بخريطة التهديدات الأمنية المباشرة لدينا)
• OWASP ASVS + الاستغلال اليدوي أولاً، مدعوم بالأدوات
• الاختبار المدرك لواجهة برمجة التطبيقات من مجموعات Swagger / Postman
• بناء سلاسل استغلال لإثبات مخاطر بيانات PDPL
• الأدلة: PoCs قابلة للتكرار (الخطوات، أوامر curl، تصديرات Burp، صور GIF قصيرة)
• الخطورة = CVSS × التأثير على الأعمال؛ التعيين إلى عناصر تحكم PDPL / ECC
• ورشة إصلاح للمطورين متضمنة؛ إعادة اختبار مجانية خلال 30 يومًا

التسليمات

• ملخص EXEC (العربية/الإنجليزية) + خريطة المخاطر الحرارية
• تقارير مفصلة
• جميع المعلومات (المكشوفة وغير المكشوفة) للمجال بأكمله والنطاقات الفرعية
• نتائج مفصلة مع PoC، خطوات إعادة التشغيل، وإصلاحات على مستوى التعليمات البرمجية
• خطة المعالجة ذات الأولوية وحزمة تذاكر SDP
• عرض التهديدات
• رسم تخطيطي لمسار الهجوم وقائمة تحقق “المكاسب السريعة في 7 أيام”

الإضافات add-ons

• اختبار حالات إساءة استخدام واجهة برمجة التطبيقات وتقويتها
• التصحيح الافتراضي لـ WAF (Sophos/Barracuda) وضبط القواعد
• الخط الأساسي للأداء والتوافر (غير متعلق بـ DoS)