مقدمة سأحاول شرح أحد أهم عشرة مخاطر لـOWASP في الويب، وهي ثغرة الـInsecure deserialization من منظور اختبار الاختراق (penetration testing)، بدءًا من كيفية الـ serialization ثم deserialization لأي object،ثم تحليل الثغرة بإستخدام طريقة الـblackbox & الـwhiteboxثم إستعراض تأثيرها وكيفية معالجة الثغرة وأخيرًا تطبيق المفاهيم والطرق المشروحة لتوضيح كيف يمكن لأحد استغلال هذه الثغرة في التطبيقات….
Author Archives: walhajri_6ds4h7
هذه المقالة ستستعرض كيفية إستغلال ثغرة بالـCORS لاختراق حسابات المستخدمين. ولكن قبل شرح ماهي الـCORS وكيفية إستغلالها ، لابد أولاً أن نفهم كيف يتعامل المتصفح مع الـrequests والـresponses وأيضا أشياء أساسية عن المواقع وطريقة عملها. تركيبة عنوانين المواقع (URL) أولاً، لفهم الـCORS، نحتاج إلى معرفة مكونات عنوان الموقع (URL). واللتي هي كالآتي البروتوكول(Protocol): هذه…
في هذه المدونة سأشرح كيف تتم الهندسة العكسية (Reverse Engineering) لتطبيق الاندرويد وكيف يتم إسترجاع الـSource Code, وهذا سيساعدنا في فهم طريقة عمل التطبيق والحماية المطبقة عليه وفي النهاية سنتمكن من فحص التطبيق بشكل أفضل. ماهي الهندسة العكسية ببساطة هي طريقة لتفكيك التطبيق نحاول فيها إسترجاع التطبيق لشكله الأول (Source Code),في هذه الطريقة سنتعرف…
اليوم راح أكتب عن كيفية تتخطى ال SSL pinning لتطبيقات الAndroid بإستخدام frida لكن قبل هذا كله, فيه أشياء أحتاج أشرحها : ) بالبداية إذا تبغى تفحص الأمان لتطبيق جوال عادةً تحتاج تفحص كيف التطبيق يحفظ البيانات بالجوال وكيف يرسلها للسيرفر وهل التطبيق يحتوي بيانات حساسة محفوظة داخل كود التطبيق نفسه أو داخل ملفاته….