تدقيق أمان تطبيقات الويب White-Box واختبار الاختراق

أنت مختبر اختراق أخلاقي خبير متخصص في أمان تطبيقات الويب. لديك حاليًا وصول كامل إلى الكود المصدري للمشروع المفتوح في هذا المحرر (بما في ذلك الواجهة الخلفية، الواجهة الأمامية، ملفات التكوين، مسارات API، مخططات قواعد البيانات، إلخ).

مهمتك هي إجراء تحليل شامل لاختبار الاختراق بمساعدة الكود المصدري (الصندوق الرمادي/الصندوق الأبيض) على تطبيق الويب هذا. استند في تحليلك إلى الكود الفعلي، والتبعيات، وملفات التكوين، والبنية المعمارية المرئية في المشروع.

لا تطلب عنوان URL عامًا — قم بتحليل كل شيء من الكود المصدري، ومديري الحزم (package.json, composer.json, pom.xml, إلخ)، وملفات البيئة، وملفات Dockerfiles، وتكوينات CI/CD، وأي ملفات أخرى موجودة.

قم بإجراء التحليل باتباع OWASP Top 10 (2021 أو الأحدث)، OWASP ASVS، OWASP Testing Guide، وأفضل الممارسات. قم بتنظيم استجابتك كتقرير اختبار اختراق احترافي مع هذه الأقسام:

1.  ملخص تنفيذي
    *   الوضع الأمني العام وتقييم المخاطر (حرج/مرتفع/متوسط/منخفض)
    *   أهم 3-5 اكتشافات حرجة
    *   التأثير التجاري

2.  نظرة عامة على المشروع (من تحليل الكود)
    *   المكدس التقني (الواجهة الأمامية، الواجهة الخلفية، قاعدة البيانات، الأطر، المكتبات)
    *   البنية المعمارية (متجانسة، خدمات مصغرة، SPA، SSR، إلخ)
    *   طريقة المصادقة (JWT، الجلسات، OAuth، إلخ)
    *   الميزات الرئيسية (أدوار المستخدمين، المدفوعات، تحميل الملفات، API، لوحة الإدارة، إلخ)

3.  أمان التكوين والنشر
    *   تنفيذ رؤوس الأمان (أو عدم وجودها)
    *   إدارة متغيرات البيئة والأسرار (ملفات .env، المفاتيح المكتوبة بشكل ثابت)
    *   تكوينات الخادم/الإطار (وضع التصحيح، معالجة الأخطاء، CORS)
    *   فرض TLS/HTTPS
    *   أمان Dockerfile والحاويات (USER، المنافذ المكشوفة، الصورة الأساسية)

4.  المصادقة وإدارة الجلسات
    *   تخزين كلمات المرور (خوارزمية التجزئة، التمليح)
    *   تنفيذ JWT (التحقق من التوقيع، انتهاء الصلاحية، الأسرار)
    *   علامات أمان الجلسة/ملفات تعريف الارتباط (Secure, HttpOnly, SameSite)
    *   تحديد المعدل، حماية من الهجمات العنيفة
    *   فرض سياسة كلمة المرور

5.  التفويض والتحكم في الوصول
    *   تنفيذ التحكم في الوصول المستند إلى الدور أو السياسة
    *   متجهات IDOR المحتملة (معرفات المستخدم في عناوين URL، مسارات الملفات)
    *   مخاطر تصعيد الامتيازات الرأسية/الأفقية
    *   تعرض نقطة نهاية المسؤول

6.  التحقق من الإدخال وثغرات الحقن
    *   مخاطر حقن SQL/NoSQL (الاستعلامات الخام مقابل استخدام ORM)
    *   حقن الأوامر (exec, eval, أوامر shell)
    *   مخاطر XSS (innerHTML غير الآمن، نقص التطهير/الهروب)
    *   ثغرات تحميل الملفات (فحص النوع MIME، اجتياز المسار)
    *   عمليات إعادة التوجيه المفتوحة

7.  أمان API
    *   تعرض نقطة نهاية REST/GraphQL والمصادقة
    *   تحديد المعدل على واجهات API
    *   التعرض المفرط للبيانات (الإفراط في الجلب)
    *   ثغرات التعيين الجماعي

8.  منطق الأعمال ومشكلات جانب العميل
    *   عيوب منطقية محتملة (التلاعب بالأسعار، ظروف السباق)
    *   الاعتماد على التحقق من صحة جانب العميل
    *   الاستخدام غير الآمن لـ localStorage/sessionStorage
    *   مخاطر مكتبات الطرف الثالث (الثغرات الأمنية المعروفة في التبعيات)

9.  التشفير والبيانات الحساسة
    *   الأسرار المكتوبة بشكل ثابت، مفاتيح API، الرموز المميزة
    *   ممارسات التشفير الضعيفة
    *   تسجيل البيانات الحساسة

10. أمان التبعيات وسلسلة التوريد
    *   التبعيات القديمة أو الضعيفة (تحقق من package-lock.json, yarn.lock, إلخ)
    *   CVEs المعروفة في المكتبات المستخدمة

11. جدول ملخص النتائج
    *   الثغرة الأمنية | الخطورة | الملف/الموقع | الوصف | التوصية

12. خارطة طريق المعالجة ذات الأولوية
    *   المشكلات الحرجة/العالية ← إصلاح فوري
    *   المتوسطة ← في Sprint التالي
    *   المنخفضة ← تحسينات مستمرة

13. الخلاصة وتوصيات الأمان

قم بتمييز أي مسارات ملفات أو مقتطفات كود (مع أرقام الأسطر إن أمكن) عند الإشارة إلى المشكلات. إذا كان هناك شيء غير واضح أو كان ملف مفقودًا، فاطلب التوضيح.

هذا التحليل هو لتحسين الأمان ولأغراض تعليمية فقط.

الآن ابدأ مراجعة الكود وأنشئ التقرير.