اللهّم زد أبي مكانة حين يركع وزده محبّه حين يرفع وزده إخلاصاً حين يسجد وزده تيسيراً وخيراً وعمراً وعافيه وبركه

Experimentation & A/B Testing Basics – Optimizely Docs Client-side vs Server-side Testing – VWO Documentation Why Validation Matters in Analytics Events – Mixpanel Blog Security Considerations in Frontend-exposed API Keys – OWASP

يعني باختصار: قدرت أزوّر بيانات التحليلات بالكامل، وأرسل أحداث وهمية، والنظام يعاملها كأنها حقيقية .. ووصلنا للنهاية شكرًا لقراءتكم🩶, ولو حبيتوا الاستزاده بالموضوع بترك لكم بعض المصادر تحت.

اللي صار إنّي ببساطة أرسلت Event من نوع: fake_purchase_completed وهو المفروض ما يتحقق إلا إذا العميل فعلاً سوا عملية شراء حقيقية لكن بما إن كل شيء مفتوح لي لنظام صدق الحدث وسجّله بالداتابيس بدون ما يتحقق منه

طيب وين المشكلة بحالتنا هذي؟ الـ API Key المسؤول عن إرسال إيفنتات كانوا مستخدمينه كنوع من الـ authentication فـ بهذا الريكوست قدرت أتصرف كأني السيرفر نفسه وتحكمت بالـ - user_id - goal - timestamps - properties — بدون ما يسوي السيرفر أي validation علي.

قررت أبحث عن الموضوع وأكتشفت ان الموقع يستخدم نظام يسمى A/B Testing. - وباختصار: هذي أنظمة تستعملها الشركات الكبيرة عشان يجربون أفكار، يعدّلون UI، يقيسون تصرفات المستخدم… إلخ. المفترض إن الإيفنتات هذي تنرسل من المستخدم صح وتتسجل عندهم صح.

فـ هنا وضح لي أن أي تعديل أسويه مو بس ينقبل قاعد يرجع لي OK بالرسبونس وكأنه شي طبيعي فاللأمانة جاء ببالي.. هل اللي قاعد يصير فعلًا يعتبر ثغرة ؟ واذا هذي البيانات قاعدة تنقبل وين قاعدة تروح؟

بعدها انتبهت لبرامتر اسمه Goals جاء سؤالين ببالي: وش بيصير لو خليت الGoal منتهي؟. وش بيصير لو غيرته بالكامل؟ وبعض المواقع أصلًا يطلعون لك خصائص أو unlock features إذا تحققت أهداف معينة.. وفعلاً… لعبت فيه وقبل السيرفر كل شيء بدون ما يعترض أو يرفض.

وأنا أحلل الريكوستات بشكل عادي, لاحظت شيء غريب كان: أكثر من ID طالع لي بالريكوست, وقررت أتلاعب فيها لاحظت من خلال تلاعبي بأكثر من شيء أنه يرجّع لي Response = OK

Thread | 📌 مرّت عليك ثغرة تقدر من خلالها تعدل أو تزور التحليلات الخاصة بالموقع؟ اي بالضبط هذا اللي حصل معي..

الحمدلله. انتهت مشاركتي في Bug Bounty Junior ضمن بلاك هات 5 بالمملكة. فخورة بكوني ضمن أفضل 35 ناشئًا مكتشف ثغرات، وتمكنت من اكتشاف 15+ ثغرة بينها حرجة ورفعت تقارير بتصنيف Excellent. شكرًا لـ أكاديمية طويق ومدربيني، ولـ منصة مكافأة الثغرات على هذه الفرصة. نراكم السنة القادمة !!

Second Day!! #BHMEA25

First day.. #BHMEA25

See u there!!!🤩 #BlackHatMEA #BugBountySA

بعد فترة توقف بسيطة، رجعنا ومعنا خبر يسعدكم 💜✨ نفتح باب الانضمام للمتطوعين في بُعد، ونبحث عن أشخاص يشاركونا الشغف والحماس في مجالات مختلفة: الأمن السيبراني ، التصميم، كتابة المحتوى ، البرمجة ، التدريب، وغيرها🤩👇🏻

أهم شيء شرف المحاولة.. ماقصّروا التيم ومبرووك للفائزين مقدمًا🫡

جاهز تكتشف الثغرات؟ 🔥 انطلق في "تحدي اكتشاف الثغرات" المقام في #بلاك_هات25 بالشراكة مع: @moe_gov_sa | @SAFCSP سجل الآن: https://t.co/CEJx1fSZnT

يووم ممتع جدًا، وتشرفت بجميع اللي شفتهم هناك فرصة سعيدة ومبروك للفائزين 🩷🩷 #cyber_yard

أهلًا يا أحبة ابحث عن شخص مهتم بالمشاركة بـ سايبر يارد تحديدًا مجال ( كريبتو - فورينسك )

دورة أساليب اختبار الاختراق لتطبيقات الجوال 🔎 مع أ. عمر الزغيبي 13 - 14 أكتوبر 8:00م - 11:00م سجّل الآن: https://t.co/vgQDZAROh2

23-9🤍🇸🇦 اللهم أدم علينا نعمة الأمن والأمان والإستقرار، نسأل الله أن يحفظ قيادتنا وشع��نا وأدام الله علينا نعمة انتمائنا لهذا الوطن العظيم🤍🤍