← العودة
Blog Post
عنوان المحادثة: طبعا قصدي التطبيق الموجود عنا عالسيرفر ب مسار ياسر
التاريخ: 12.06.2026
التصنيف: ☁️ السيرفرات والبنية التحتية
إجمالي الرسائل: 7 | ياسر: 7 | M: 0
Yasser
طبعا قصدي التطبيق الموجود عنا عالسيرفر ب مسار ياسر
Yasser
HTTP/2 404 ... Server: nginx/1.24.0 <-- إصدار nginx ظاهر ...
Yasser
إزاي المهاجم يستخدم المعلومات ديnginx 1.24.0: دور على CVEs معروفة في nginx 1.24.0 في exploit-db.comActive eCommerce CMS: دور على ثغرات معروفة في النسخة دي (CVE-2023-51221 موجودة بالفعل)المسار /www/wwwroot/: ده بيوضح إن السيرفر مستضاف على panel شايع (panel.bt.cn أو aaPanel) وده ليه exploits معروفةjQuery: إصدارات قديمة من jQuery ليها XSS vulnerabilities معروفة
Yasser
## ثغرات الموقع بالعربي الفصيح 🔓---### 🔴 ١. نقص الهيدرز الأمنية (Clickjacking)يعني إيه؟تخيل أنا بعمل موقع مزيف وبقوللك "ادوس هنا واكسب جائزة"، لكن لما تدوس فعلياً بيكونك بتشتري حاجة من موقع almadah بفلوسك انت! ليه ده بيحصل؟الموقع مش بيحمي نفسه إنه يتعرض جوه "صفحة جوه صفحة" (iframe). يعني أي حد ممكن يحط الموقع جوه صفحته الخبيثة ويخدعك.العلاج: سطر واحد في الإعدادات:X-Frame-Options "SAMEORIGIN"---### 🔴 ٢. ثغرة XSS المخزنة (الصورة الملعونة)يعني إيه؟المهاجم بيرفع ملف صورة (SVG) فيه كود خبيث. لما أي زائر يفتح صفحة المنتج، الكود ده بيشتغل لوحده ويسرق بياناته!تخيل كده:إنك بتشتري عصير مفتحوش، لكن جواه مادة سامة. لما تشربه تتسمم.العلاج: حظر رفع ملفات SVG تماماً، أو تحديث نظام إدارة المحتوى.---### 🟡 ٣. ضعف حماية تسجيل الدخول (Brute Force)يعني إيه؟صفحة الدخول مالهاش عداد محاولات. يعني الهكر ممكن يجرب 10000 باسورد ورا بعض لحد ما يلاقي الباسورد الصح باستخدام برنامج آلي.تخيل كده:عندك باب بيتك ومفيش قفل، أي حد ممكن يجرب كل المفاتيح لحد ما يفتح.العلاج: وضع حد للمحاولات (5 محاولات وبعدين قفل) + إضافة كابتشا.---### 🟡 ٤. تسريب معلومات تقنيةيعني إيه؟الموقع بيقول للعالم: "أنا شغال بـ nginx إصدار 1.24.0 على مسار /www/wwwroot/". ده زي ما تقول للحرامي: "أنا سايب الباب مفتوح على الساعة 3 الظهر".العلاج: إخفاء إصدار السيرفر:server_tokens off;---### 🟢 ٥. غياب ملف security.txtيعني إيه؟لو حد لقى ثغرة في الموقع وعايز يبلغكم عنها بأمان، مش هيلاقي طريقة يوصلكم! ده زي ما تكون مستشفى مالهاش رقم طوارئ.العلاج: عمل ملف بسيط:Contact: security@almadah.com---### 🟡 ٦. إعدادات كوكيز الجلسةيعني إيه؟الكوكيز (بطاقة التعريف بتاعتك في الموقع) مش متأمنة كويس. لما تدخل من كمبيوتر عام وتمشي، أي حد ممكن يستخدم نفس البطاقة يدخل باسمك.العلاج: تشغيل خاصية SameSite=Lax على الكوكيز.---### 🟡 ٧. بروتوكولات TLS قديمةيعني إيه؟الموقع بيقبل التواصل بطريقة تشفير قديمة من 2010. الطريقة دي معروفة إنها ضعيفة وممكن تتكسر.العلاج: إيقاف TLS 1.0 و 1.1 واستخدام 1.2 و 1.3 فقط.---### 🟡 ٨. Cloudflare WAF على وضع ضعيفيعني إيه؟Cloudflare (الحارس بتاع الموقع) نايم على وظيفته! جربنا نبعت له أكواد خبيثة بسيطة وهو سمح بيها تعدي من غير ما يقفل الباب.العلاج: رفع مستوى الحماية في لوحة التحكم.---## 🎯 الخلاصةالموقع أساسه كويس (بيستخدم Laravel و Cloudflare) بس فيه "ثغرات سطحية" سهلة جداً الإصلاح. أغلبها سطور بسيطة في ملف الإعدادات. أهم حاجة تتعمل بسرعة: الهيدرز الأمنية + حظر SVG + تعطيل TLS القديم. 🛡
المحادثة الكاملة - 12.06.2026
ياسر
عالسيرفر
12.06.2026 15:54
ياسر
24 جيجا رام عالسيرفر
12.06.2026 15:54
ياسر
طبعا قصدي التطبيق الموجود عنا عالسيرفر ب مسار ياسر
12.06.2026 16:10
ياسر
HTTP/2 404 ... Server: nginx/1.24.0 <-- إصدار nginx ظاهر ...
12.06.2026 16:20
ياسر
إزاي المهاجم يستخدم المعلومات ديnginx 1.24.0: دور على CVEs معروفة في nginx 1.24.0 في exploit-db.comActive eCommerce CMS: دور على ثغرات معروفة في النسخة دي (CVE-2023-51221 موجودة بالفعل)المسار /www/wwwroot/: ده بيوضح إن السيرفر مستضاف على panel شايع (panel.bt.cn أو aaPanel) وده ليه exploits معروفةjQuery: إصدارات قديمة من jQuery ليها XSS vulnerabilities معروفة
12.06.2026 16:20
ياسر
## ثغرات الموقع بالعربي الفصيح 🔓---### 🔴 ١. نقص الهيدرز الأمنية (Clickjacking)يعني إيه؟تخيل أنا بعمل موقع مزيف وبقوللك "ادوس هنا واكسب جائزة"، لكن لما تدوس فعلياً بيكونك بتشتري حاجة من موقع almadah بفلوسك انت! ليه ده بيحصل؟الموقع مش بيحمي نفسه إنه يتعرض جوه "صفحة جوه صفحة" (iframe). يعني أي حد ممكن يحط الموقع جوه صفحته الخبيثة ويخدعك.العلاج: سطر واحد في الإعدادات:X-Frame-Options "SAMEORIGIN"---### 🔴 ٢. ثغرة XSS المخزنة (الصورة الملعونة)يعني إيه؟المهاجم بيرفع ملف صورة (SVG) فيه كود خبيث. لما أي زائر يفتح صفحة المنتج، الكود ده بيشتغل لوحده ويسرق بياناته!تخيل كده:إنك بتشتري عصير مفتحوش، لكن جواه مادة سامة. لما تشربه تتسمم.العلاج: حظر رفع ملفات SVG تماماً، أو تحديث نظام إدارة المحتوى.---### 🟡 ٣. ضعف حماية تسجيل الدخول (Brute Force)يعني إيه؟صفحة الدخول مالهاش عداد محاولات. يعني الهكر ممكن يجرب 10000 باسورد ورا بعض لحد ما يلاقي الباسورد الصح باستخدام برنامج آلي.تخيل كده:عندك باب بيتك ومفيش قفل، أي حد ممكن يجرب كل المفاتيح لحد ما يفتح.العلاج: وضع حد للمحاولات (5 محاولات وبعدين قفل) + إضافة كابتشا.---### 🟡 ٤. تسريب معلومات تقنيةيعني إيه؟الموقع بيقول للعالم: "أنا شغال بـ nginx إصدار 1.24.0 على مسار /www/wwwroot/". ده زي ما تقول للحرامي: "أنا سايب الباب مفتوح على الساعة 3 الظهر".العلاج: إخفاء إصدار السيرفر:server_tokens off;---### 🟢 ٥. غياب ملف security.txtيعني إيه؟لو حد لقى ثغرة في الموقع وعايز يبلغكم عنها بأمان، مش هيلاقي طريقة يوصلكم! ده زي ما تكون مستشفى مالهاش رقم طوارئ.العلاج: عمل ملف بسيط:Contact: security@almadah.com---### 🟡 ٦. إعدادات كوكيز الجلسةيعني إيه؟الكوكيز (بطاقة التعريف بتاعتك في الموقع) مش متأمنة كويس. لما تدخل من كمبيوتر عام وتمشي، أي حد ممكن يستخدم نفس البطاقة يدخل باسمك.العلاج: تشغيل خاصية SameSite=Lax على الكوكيز.---### 🟡 ٧. بروتوكولات TLS قديمةيعني إيه؟الموقع بيقبل التواصل بطريقة تشفير قديمة من 2010. الطريقة دي معروفة إنها ضعيفة وممكن تتكسر.العلاج: إيقاف TLS 1.0 و 1.1 واستخدام 1.2 و 1.3 فقط.---### 🟡 ٨. Cloudflare WAF على وضع ضعيفيعني إيه؟Cloudflare (الحارس بتاع الموقع) نايم على وظيفته! جربنا نبعت له أكواد خبيثة بسيطة وهو سمح بيها تعدي من غير ما يقفل الباب.العلاج: رفع مستوى الحماية في لوحة التحكم.---## 🎯 الخلاصةالموقع أساسه كويس (بيستخدم Laravel و Cloudflare) بس فيه "ثغرات سطحية" سهلة جداً الإصلاح. أغلبها سطور بسيطة في ملف الإعدادات. أهم حاجة تتعمل بسرعة: الهيدرز الأمنية + حظر SVG + تعطيل TLS القديم. 🛡
12.06.2026 16:35
ياسر
ممكن مشكلة بالسيرفرات او شئ
12.06.2026 17:17
← العودة إلى الرئيسية