تقرير سري - Secret Report

تقرير الفحص الأمني الشامل

Security Assessment Report - OWASP Top 10 2021

الموقع المستهدف
https://almadah.com
التاريخ: 12 يونيو 2026
نوع الفحص: Gray Box
المعيار: OWASP Top 10 - 2021
المدة: يوم واحد
↓ اسحب للأسفل
1 ملخص التنفيذي

تم إجراء فحص أمني استشاري شامل على موقع almadah.com (متجر إلكتروني لمواد البناء) بتاريخ 12 يونيو 2026. يهدف هذا الفحص إلى تقييم الوضع الأمني للموقع وتحديد الثغرات المحتملة وفقاً لمعايير OWASP Top 10 وأفضل الممارسات الأمنية الصناعية.

ملاحظة هامة

هذا الفحص هو فحص استشاري (Gray Box Assessment) يعتمد على تحليل الهيدرز والبنية التقنية والمعلومات المتاحة علنياً. لم يتم إجراء أي هجمات فعلية على الموقع أو محاولة استغلال أي ثغرات بشكل مباشر.

1.1 نظرة عامة على النتائج

2
ثغرات عالية (High)
6
ثغرات متوسطة (Medium)
0
ثغرات حرجة (Critical)

1.2 المخاطر الرئيسية

#المخاطرالخطورةالتأثير
1نقص الهيدرز الأمنيةعاليةClickjacking و XSS
2ثغرة XSS المخزنة (CVE-2023)عاليةسرقة بيانات المستخدمين
3ضعف حماية تسجيل الدخولمتوسطةهجمات Brute Force
4تسريب إصدار nginxمتوسطةاستهداف ثغرات معروفة
5غياب security.txtمنخفضةصعوبة الإبلاغ
6TLS 1.0/1.1 مدعومينمتوسطةDowngrade attacks
7Cloudflare WAF mode ضعيفمتوسطةBasic payloads بتمر
2 منهجية الفحص

2.1 نطاق العمل

البندالتفاصيل
الموقع المستهدفhttps://almadah.com
نوع الفحصGray Box Assessment
تاريخ الفحص12 يونيو 2026
المعيار المرجعيOWASP Top 10 - 2021
النقاط المفحوصةالهيدرز، SSL/TLS، البنية التقنية، النماذج، API

2.2 المعايير والأدوات

الأداةالاستخدام
cURLفحص الهيدرز وتحليل الاستجابات
OpenSSLتحليل شهادة SSL/TLS
Browser DevToolsتحليل المحتوى والشبكة
Exploit-DB / NVDالبحث عن الثغرات المعروفة (CVE)
3 تحليل البنية التقنية

3.1 المكونات التقنية

المكونالتقنيةالملاحظات
FrontendBootstrap RTL + jQueryواجهة المستخدم
BackendLaravel (PHP)إطار العمل الرئيسي
CMSActive eCommerce CMSنظام إدارة المحتوى
Web Servernginxيظهر في صفحات الخطأ
CDN / WAFCloudflareجدار حماية
SSLLet's Encrypt ECDSA P-256شهادة أمان
DatabaseMySQLافتراضي مع Laravel
تسريب معلومات تقنية

الموقع بيسرب إصدار nginx في صفحات الخطأ (404). المفروض تخفيه بـ server_tokens off;

3.2 تحليل الهيدرز الأمنية

الهيدرالحالةالتقييم
HSTS موجود (31536000)ممتاز
X-Frame-Options مفقودClickjacking
X-Content-Type-Options مفقودMIME Sniffing
Content-Security-Policy مفقودبدون حماية XSS
X-XSS-Protection مفقودضعيف
Referrer-Policy مفقودتسريب Referrer
Cookie HttpOnly موجودجيد
Cookie SameSite مفقودعرضة لـ CSRF

3.3 تحليل SSL/TLS

العنصرالتفاصيلالتقييم
المصدرLet's Encrypt E8موثوق
خوارزمية المفتاحECDSA P-256قوي
إصدار TLSTLS 1.3أحدث
Cipher SuiteTLS_AES_256_GCM_SHA384256-bit
HSTSmax-age=31536000مفعل سنة كاملة
ضعف TLS: إصدارات قديمة مفعلة!

الفحص اكتشف إن TLS 1.0 و TLS 1.1 لسه شغالين على السيرفر. الإصدارات دي ضعيفة ومعرضة لهجمات downgrade. المفروض يتعطلوا ويفضل TLS 1.2+ بس.

3.4 فحص البورتات المفتوحة

الـ Ports المفتوحة
الـ Portالخدمةالحالة
80/tcpHTTPمفتوح (بيرجع 403)
443/tcpHTTPSمفتوح (الرئيسي)
8080/tcpHTTP-altمفتوح (redirect لـ 443)
8443/tcpHTTPS-altغير مستجيب

3.5 فحص HTTP Methods

اختبار HTTP Methods
Methodالاستجابةالتقييم
OPTIONS405 Method Not Allowedمحمي
PUT405 Method Not Allowedمحمي
DELETE405 Method Not Allowedمحمي
PATCH405 Method Not Allowedمحمي
TRACE405 Method Not Allowedمحمي

3.6 فحص Cloudflare WAF

تم اختبار Cloudflare WAF بمحاولات XSS و SQLi ظاهرة:

اختبار WAF
الاختبارالـ Payloadالنتيجة
XSS Basic<script>alert(1)</script>مرّ (200 OK) - مفيش حظر!
SQLi Basic1'OR'1'='1مرّ (200 OK) - مفيش حظر!
WAF Mode ضعيف!

Cloudflare WAF على الأغلب شغال بـ "Low" أو "Medium" mode. البايلودز البسيطة (Basic XSS/SQLi) بتعدّي من غير ما تتكشف. المفروض يرفع الـ sensitivity لـ "High" أو يضيف Custom Rules.

4 الثغرات الأمنية المكتشفة
VULN-001: نقص الهيدرز الأمنية الوقائية عالية
الخطورة
عالية (High)
CWE
CWE-693, CWE-1021
التأثير
Clickjacking, XSS
سهولة الاستغلال
سهل

الموقع بيفتقر لـ 6 هيدرز أمنية أساسية:

  • X-Frame-Options: حماية من Clickjacking
  • X-Content-Type-Options: منع MIME Sniffing
  • Content-Security-Policy: حماية XSS
  • X-XSS-Protection: حماية إضافية
  • Referrer-Policy: التحكم في Referrer
  • Permissions-Policy: تحكم APIs

سيناريو الهجوم (Clickjacking)

  1. المهاجم يعمل موقع خبيث بـ iframe يعرض almadah.com
  2. يخفي الـ iframe بطبقة شفافة فوق أزرار خبيثة
  3. يخدع المستخدم يدوس على حاجة وهو مش واخد باله
VULN-002: ثغرة XSS المخزنة في Active eCommerce CMS عالية
الخطورة
عالية
CVE
CVE-2023-51221
المسار الضعيف
/aiz-uploader/upload
الإصدار المصاب
6.5.0 وما دونه

ثغرة Stored XSS معروفة في Active eCommerce CMS. المهاجم يرفع ملف SVG خبيث فيه JavaScript ضار.

التأثير
  • سرقة كوكيز المصادقة (Session Hijacking)
  • تنفيذ إجراءات نيابة عن المستخدمين
  • سرقة بيانات الدفع والعناوين
  • تغيير كلمات المرور وسرقة الحسابات
VULN-003: ضعف حماية مصادقة المستخدمين متوسطة
الخطورة
متوسطة
CWE
CWE-307, CWE-799
التأثير
اختراق حسابات
الاستغلال
متوسط
  • مفيش Rate Limiting على تسجيل الدخول
  • مفيش CAPTCHA
  • مفيش Account Lockout
Cloudflare بيوفر حماية جزئية، لكن هجمات Brute Force البطيئة (Low-and-Slow) ممكن تتجاوز الكشف.
VULN-004: تسريب معلومات تقنية متوسطة
المعلومةالمصدرالمخاطر
إصدار nginxصفحات الخطأ (404)استهداف ثغرات معروفة
مسار الملفاتsitemap.xmlكشف بنية الخادم
إصدارات المكتباتCSS/JS filesثغرات معروفة
VULN-005: غياب ملف security.txt منخفضة

الموقع مالوش ملف /.well-known/security.txt (معيار RFC 9116) اللي بيسمح للباحثين الأمنيين يبلغوا عن الثغرات بسهولة.

VULN-006: إعدادات كوكيز الجلسة متوسطة
الخاصيةالحالةالملاحظات
HttpOnlyمفعليمنع وصول JavaScript
Secureغير محددلازم يتضاف
SameSiteمفقوديحمي من CSRF
VULN-007: TLS 1.0/1.1 مدعومين (Downgrade) متوسطة
الخطورة
متوسطة
CWE
CWE-326, CWE-327
البروتوكولات الضعيفة
TLS 1.0, TLS 1.1
الفحص
OpenSSL s_client

الفحص بالـ OpenSSL اكتشف إن السيرفر بيقبل TLS 1.0 و TLS 1.1. الإصدارات دي معرضة لهجمات downgrade (مثل POODLE, BEAST) ومفروض تتعطل.

العلاج: تعطيل TLS 1.0/1.1 في nginx
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
VULN-008: Cloudflare WAF mode ضعيف متوسطة
الخطورة
متوسطة
الأداة
curl
XSS Payload
<script>alert(1)</script>
النتيجة
200 OK (Passed)

تم اختبار WAF بـ basic payloads:

  • <script>alert(1)</script> -> 200 OK (مفيش حظر)
  • 1'OR'1'='1 -> 200 OK (مفيش حظر)
العلاج: رفع sensitivity الـ WAF
# Cloudflare Dashboard -> Security -> WAF
# 1. ارفع Security Level لـ "High"
# 2. شغل "Managed Rules" (OWASP Core Ruleset)
# 3. ضيف Custom Rule لحظر XSS/SQLi patterns
5 تحليل OWASP Top 10
#التصنيفالحالةالتحليل
A01Broken Access ControlمنخفضLaravel يوفر حماية افتراضية كويسة
A02Cryptographic FailuresمتوسطTLS 1.0/1.1 لسه شغالين + SameSite مفقود
A03InjectionمنخفضLaravel ORM بيحمي من SQLi
A04Insecure Designمتوسطغياب Rate Limiting و CAPTCHA
A05Security Misconfigurationعالي6 هيدرز أمنية مفقودة + تسريب nginx
A06Vulnerable Componentsعاليثغرة XSS معروفة CVE-2023-51221
A07Auth Failuresمتوسطغياب Rate Limiting و Account Lockout
A08Data IntegrityمنخفضCSRF protection مفعل
A09Logging Failuresغير محددمش متاح التقييم من الخارج
A10SSRFمنخفضلا توجد مؤشرات
6 التوصيات العلاجية

6.1 إضافة الهيدرز الأمنية (أولوية فورية)

X-Frame-Options - منع Clickjacking
add_header X-Frame-Options "SAMEORIGIN" always;
X-Content-Type-Options - منع MIME Sniffing
add_header X-Content-Type-Options "nosniff" always;
Content-Security-Policy - حماية XSS
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' https://fonts.googleapis.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; img-src 'self' data: blob:; font-src 'self' https://fonts.gstatic.com; frame-ancestors 'self';" always;
Referrer-Policy
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
Permissions-Policy
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
طريقة تانية: Laravel Middleware
public function handle($request, Closure $next)
{
    $response = $next($request);
    $response->headers->set('X-Frame-Options', 'SAMEORIGIN');
    $response->headers->set('X-Content-Type-Options', 'nosniff');
    $response->headers->set('Referrer-Policy', 'strict-origin-when-cross-origin');
    return $response;
}

6.2 حماية ضد XSS

1. حدث Active eCommerce CMS لآخر إصدار
ثغرة CVE-2023-51221 اتصلحت في الإصدارات الجديدة.
2. حظر رفع ملفات SVG
$disallowed = ['svg', 'svgz'];
$badMimes = ['image/svg+xml'];

6.3 تقوية مصادقة المستخدمين

Rate Limiting
Route::post('/users/login', [LoginController::class, 'login'])
    ->middleware('throttle:5,1'); // 5 محاولات في الدقيقة
Google reCAPTCHA
composer require anhskohbo/no-captcha
Account Lockout
RateLimiter::for('login', function ($request) {
    return Limit::perMinute(5)->by($request->ip());
});

6.4 إخفاء المعلومات التقنية

nginx
server_tokens off;
Laravel .env
APP_DEBUG=false
APP_ENV=production

6.5 تحسين إدارة الجلسات

config/session.php
'secure' => true
'same_site' => 'lax'
'http_only' => true
security.txt
Contact: mailto:security@almadah.com
Expires: 2027-01-01T00:00:00.000Z
Preferred-Languages: ar, en
7 الخلاصة والتوصيات النهائية

تم تحديد 8 ثغرات أمنية تتراوح بين عالية ومنخفضة. الفحص العميق اكتشف كمان إن TLS 1.0/1.1 لسه شغالين وإن Cloudflare WAF على mode ضعيف. الموقع ليه أساس أمني كويس بس فيه نقاط لازم تتصلح فوراً.

أولوية فورية (أسبوع):

أولوية قصيرة (شهر):

أولوية متوسطة (3 أشهر):

ملخص التقييم النهائي

البندالتقييمالأولوية
SSL/TLS (Cipher/Key)ممتاز (A+)-
SSL/TLS (Protocols)ضعيف - TLS 1.0/1.1 شغالينفوري
الهيدرز الأمنيةضعيف (F) - 6 هيدرز مفقودةفوري
حماية XSSضعيف - ثغرة SVG + WAF bypassفوري
Cloudflare WAFمتوسط - Basic payloads بتمرفوري
مصادقة المستخدمينمتوسط - مفيش Rate Limitingمتوسطة
إدارة الجلساتمتوسط - SameSite مفقودمتوسطة
CSRF Protectionمفعل (Laravel)-
HTTP Methodsمحمي (كلها 405)-
Debug Endpointsمش موجودة (كلها 404)-
الخلاصة

الموقع أساسه أمني كويس (Laravel + TLS 1.3 + CSRF Protection + HTTP Methods محمية) بس فيه 8 ثغرات لازم تتصلح. أهم حاجة: الهيدرز الأمنية (10 دقايق شغل)، تعطيل TLS 1.0/1.1، ورفع WAF sensitivity. ثغرة XSS في CMS لازم تحديث فوري.