// تسليط الضوء على الثغرات

كل فحص يشغّله FixVibe،
بشرح وافٍ.

+69 فئات ثغرات تأتي مع FixVibe. كل بند يشغّل ما يصل إلى 35 فحوصاً فرعية في كل عملية، ويشرح كيفية عمل الثغرة، وما يحصل عليه المهاجم منها، وكيف نختبرها، وما يلزم للدفاع.

01 / 07

HTTP والسطح

عالٍ· CWE-1004

خصائص كوكي الجلسة

HttpOnly وSecure وSameSite — ثلاث رايات تحول كوكي الجلسة إلى شيء يصعب على المهاجمين سرقته.

اقرأ التسليط →

متوسط· CWE-693

ترويسات أمان HTTP

الترويسات دفاع مجاني — ومع ذلك تُشحَن معظم التطبيقات بدونها.

اقرأ التسليط →

متوسط· CWE-326

إعداد TLS

أطقم تشفير قديمة مع غياب HSTS تساوي شبكة Wi-Fi معادية واحدة عن اختطاف الجلسة.

اقرأ التسليط →

متوسط· CWE-693

Vercel Deployment Protection

Generated deployment URLs should not become public staging doors.

اقرأ التسليط →

02 / 07

الأسرار

حرج· CWE-798

أنماط الأسرار المُدمجة

مفاتيح Stripe، اعتمادات AWS، رموز OpenAI — مطابقة الأنماط تلتقط الأخطاء السهلة.

اقرأ التسليط →

حرج· CWE-798

الأسرار في حزم JavaScript

إذا شُحن في حزمة العميل لديك، فهو ليس سرًا — بل منشورًا.

اقرأ التسليط →

عالٍ· CWE-345

نزاهة JWT (التباس alg، أسرار ضعيفة)

إذا وثق مدقق JWT بترويسة الرمز ذاته، فسيصدّق ما يكتبه المهاجم.

اقرأ التسليط →

عالٍ· CWE-922

الرموز في تخزين المتصفح

localStorage قابل للقراءة من JavaScript. رموز المصادقة المخزّنة هناك قابلة للسرقة عبر XSS بحكم التصميم.

اقرأ التسليط →

متوسط· CWE-540

خرائط المصدر المكشوفة

إذا كانت ملفات .map الخاصة بك علنية، فالمهاجم يقرأ TypeScript الخاص بك.

اقرأ التسليط →

منخفض· CWE-200

تسرب المعلومات في JavaScript

خوادم API الداخلية، لافتات الإصدار، تعليقات TODO — التسريبات الصغيرة تتراكم لتصير خريطة لطبقتك التقنية.

اقرأ التسليط →

03 / 07

Backend-as-a-Service

حرج· CWE-284

قواعد أمان Firebase

`allow read, write: if true` هي قاعدة بيانات إنتاج لشخص ما الآن.

اقرأ التسليط →

حرج· CWE-284

أمان مستوى الصف في Supabase

بدون RLS على كل جدول عام، يصبح مفتاح anon ترخيصًا لقراءة أي شيء.

اقرأ التسليط →

متوسط· CWE-1390

إعداد Clerk وAuth0

موفّرو الهوية يتسربون أكثر مما ينبغي عندما لا تُحكَم القيم الافتراضية.

اقرأ التسليط →

متوسط· CWE-862

Supabase Storage and API Posture

Public buckets and anon-listable objects are where BaaS data leaks start.

اقرأ التسليط →

04 / 07

DNS

عالٍ· CWE-350

الاستيلاء على نطاق فرعي

CNAME يشير إلى مورد سحابي غير مُطالَب به هو دعوة لاستضافة التصيّد على نطاقك.

اقرأ التسليط →

متوسط· CWE-290

SPF / DKIM / DMARC

بدون هذه السجلات الثلاثة، يستطيع أي شخص إرسال بريد منتحلاً اسمك.

اقرأ التسليط →

05 / 07

الاكتشاف

عالٍ· CWE-1395

المرجعية المتقاطعة لـ CVE

إصدار مكتشف + قاعدة CVE العامة = قائمة بهجمات موثقة بالفعل.

اقرأ التسليط →

عالٍ· CWE-489

نقاط نهاية التصحيح والإدارة

/debug و/admin و/server-status — مسارات يجب ألا تكون قابلة للوصول من الإنترنت.

اقرأ التسليط →

عالٍ· CWE-538

ملفات ومجلدات نسخ احتياطي مكشوفة

.env و.git و.DS_Store وbackup.sql — ملفات لا ينبغي أن تكون علنية صارت كذلك بالخطأ.

اقرأ التسليط →

عالٍ· CWE-20

SPIP Template RCE Version Exposure

Public SPIP version banners can reveal an RCE-class patch gap.

اقرأ التسليط →

متوسط· CWE-693

وضعية الأصل والوكيل في Cloudflare

إذا كان عنوان IP الأصلي قابلًا للاكتشاف، فجدار حماية Cloudflare قابل للتجاوز.

اقرأ التسليط →

متوسط· CWE-200

كشف Introspection في GraphQL

Introspection في الإنتاج تسلّم نظام الأنواع كاملًا للمهاجم.

اقرأ التسليط →

متوسط· CWE-693

المرجعية المتقاطعة لاستخبارات التهديد

Spamhaus DBL وURLhaus — سمعة نطاقك كما تُرى من الخارج.

اقرأ التسليط →

منخفض· CWE-200

وثائق API مكشوفة

/swagger.json و/openapi.json و/docs — خرائط API علنية لك وللمهاجم.

اقرأ التسليط →

منخفض· CWE-200

كشف خاص بـ Netlify

عناوين معاينة نشر Netlify وترويسات x-nf-* وأخطاء _redirects.

اقرأ التسليط →

منخفض· CWE-281

علامات الامتثال للخصوصية وملفات تعريف الارتباط

صفحات يطلبها GDPR — موجودة ومرتبطة، أو أنت معرض للشكاوى.

اقرأ التسليط →

منخفض· CWE-200

بصمة التقنية

معرفة طبقتك التقنية نصف الاستطلاع — وأطر العمل القديمة تكمل النصف الآخر.

اقرأ التسليط →

منخفض· CWE-200

كشف خاص بـ Vercel

_next/static وترويسات x-vercel-* وعناوين المعاينة — خصائص Vercel تتسرب أكثر مما ينبغي.

اقرأ التسليط →

06 / 07

الفحوصات النشطة

حرج· CWE-639

تسربات بيانات بين المستأجرين

SaaS متعدد المستأجرين دون فرض معرف المستأجر يسرّب بيانات العملاء عبر المؤسسات.

اقرأ التسليط →

حرج· CWE-345

JWT alg=none Acceptance

A decoded token is not an authenticated identity.

اقرأ التسليط →

حرج· CWE-78

حقن أوامر نظام التشغيل

عندما يصبح إدخال المستخدم جزءًا من أمر shell، يُشغّل الـ shell ما يكتبه المهاجم.

اقرأ التسليط →

حرج· CWE-94

حقن القوالب من جانب الخادم (SSTI)

عندما يعامل محرك القوالب إدخال المستخدم كقالب، يعامل الخادم إدخال المستخدم كشيفرة.

اقرأ التسليط →

حرج· CWE-89

حقن SQL

عندما يصبح إدخال المستخدم جزءًا من الاستعلام، تتوقف قاعدة البيانات عن أن تكون لك.

اقرأ التسليط →

عالٍ· CWE-287

عيوب تدفق المصادقة

تسجيل الدخول، التسجيل، إعادة تعيين كلمة المرور — هنا تحدث معظم عمليات الاستيلاء على الحسابات فعليًا.

اقرأ التسليط →

عالٍ· CWE-918

SSRF أعمى (خارج النطاق)

إذا كان الخادم يجلب عناوين URL يقدمها المستخدم، يستطيع المستخدم جعله يجلب خدمات داخلية.

اقرأ التسليط →

عالٍ· CWE-89

CKAN DataStore SQL Authorization Bypass

Public DataStore SQL access can turn open data APIs into private data exposure.

اقرأ التسليط →

عالٍ· CWE-942

خطأ في إعداد CORS

Access-Control-Allow-Origin متساهل مع الاعتمادات يعني أن واجهة API الخاصة بك صارت واجهة الجميع.

اقرأ التسليط →

عالٍ· CWE-79

XSS قائم على DOM عبر شظية URL

تطبيقات SPA الحديثة تقرأ location.hash وتكتبه في DOM — وحمولات المهاجم ترافقها.

اقرأ التسليط →

عالٍ· CWE-434

التحقق من رفع الملفات

الملفات التي يرفعها المستخدم بايتات عشوائية — قبولها كـ«صور» دون فحص دعوة للتنفيذ عن بعد.

اقرأ التسليط →

عالٍ· CWE-321

FUXA Hardcoded JWT Fallback Secret

Default token-signing secrets can turn an HMI login into a weak boundary.

اقرأ التسليط →

عالٍ· CWE-770

تفجير عمق GraphQL وتجاوز الدفعات

مرونة GraphQL هي أيضًا ثغرتها — قنابل العمق، تجميع الأسماء المستعارة، تسريبات اقتراحات الحقول.

اقرأ التسليط →

عالٍ· CWE-444

تهريب طلب HTTP

الوكيل الأمامي والخلفي يختلفان حول مكان انتهاء الطلب — والمهاجم يركب على الخياط.

اقرأ التسليط →

عالٍ· CWE-639

IDOR / BOLA

إذا وثقت واجهة API بأن العميل يرسل المعرف الصحيح، فبإمكان العميل إرسال أي معرف.

اقرأ التسليط →

عالٍ· CWE-77

حقن موجهات LLM

إذا وثقت ميزة الذكاء الاصطناعي في إدخال المستخدم كتعليمات، يستطيع المستخدم إعادة كتابة الموجه النظامي.

اقرأ التسليط →

عالٍ· CWE-943

حقن مشغلات NoSQL

مشغلات بنمط MongoDB في JSON يتحكم به المستخدم تحوّل استعلامك إلى wildcard.

اقرأ التسليط →

عالٍ· CWE-79

البرمجة عبر المواقع المنعكسة (XSS)

الاختطاف الصامت: عندما يُنفّذ معامل واحد غير مُطهَّر شيفرة المهاجم في متصفحات مستخدميك.

اقرأ التسليط →

عالٍ· CWE-611

كيان XML خارجي (XXE)

إذا كان محلل XML يحل الكيانات الخارجية، فالخادم يقرأ الملفات للمهاجم.

اقرأ التسليط →

عالٍ· CWE-200

ZoneMinder Directory Listing Exposure

A camera management UI should not publish its web root index.

اقرأ التسليط →

متوسط· CWE-203

تعداد الحسابات

إذا استجاب تسجيل الدخول بشكل مختلف عند وجود البريد، يستطيع المهاجمون بناء قائمة عملاء.

اقرأ التسليط →

متوسط

Confirming Next.js middleware bypass exposure

اقرأ التسليط →

متوسط· CWE-113

CRLF / تقسيم الاستجابة

إذا وصل إدخال المستخدم إلى ترويسة استجابة، فإن أسطر النهاية تتيح للمهاجم كتابة ترويساته.

اقرأ التسليط →

متوسط· CWE-352

حماية CSRF

إذا لم تتطلب نقاط نهايتك التي تغير الحالة رمز CSRF، يمكن لمواقع الطرف الثالث التصرف كمستخدميك.

اقرأ التسليط →

متوسط· CWE-307

غياب تحديد المعدل

بدون تحديد معدل على نقاط نهاية المصادقة، يمكن للمهاجم القيام بحشو الاعتمادات بسرعة الخط.

اقرأ التسليط →

متوسط· CWE-693

Next.js Header Configuration Drift

Headers set on `/` do not always protect nested routes.

اقرأ التسليط →

متوسط· CWE-601

إعادة التوجيه المفتوحة

/redirect?url=… الخاص بك الذي لا يتحقق من الوجهة هو طقم تصيّد.

اقرأ التسليط →

07 / 07

الشيفرة المصدرية

حرج· CWE-89

Ghost Content API SQL Injection Advisory

A vulnerable Ghost dependency can put public content APIs on the database boundary.

اقرأ التسليط →

حرج· CWE-78

LibreNMS Command Injection Advisory

A vulnerable monitoring stack can become an execution path inside the network.

اقرأ التسليط →

حرج· CWE-89

LiteLLM SQL Injection Advisory

A vulnerable LiteLLM Proxy version can turn API-key verification into database exposure.

اقرأ التسليط →

عالٍ· CWE-798

Committed AI-Generated Secrets

AI snippets should not ship provider keys into git.

اقرأ التسليط →

عالٍ· CWE-77

electerm Install-Script Command Injection Advisory

A vulnerable terminal-client dependency can put build or developer hosts at install-time risk.

اقرأ التسليط →

عالٍ· CWE-611

OpenCms XXE Information-Disclosure Advisory

A vulnerable OpenCms dependency can put XML-processing routes on a file-read boundary.

اقرأ التسليط →

عالٍ· CWE-754

PDF.js JavaScript Execution Advisory

A vulnerable PDF viewer can turn a malicious document into script execution.

اقرأ التسليط →

عالٍ· CWE-94

أنماط شيفرة مصدرية محفوفة بالمخاطر

eval() وdangerouslySetInnerHTML والأسرار المُدمجة — الأنماط التي يلتقطها SAST منذ 25 عامًا.

اقرأ التسليط →

عالٍ· CWE-284

Supabase RLS in Migrations

A public table without RLS is a future data leak.

اقرأ التسليط →

عالٍ· CWE-1395

تبعيات معرضة للهجمات

يحوي ملف package-lock.json آلاف الحزم. بعضها يحمل CVEs معروفة.

اقرأ التسليط →

عالٍ· CWE-345

التحقق من توقيع Webhook

إذا لم يتحقق معالج webhook من التوقيع، يستطيع أي شخص تزييف الأحداث.

اقرأ التسليط →

متوسط· CWE-693

AI-Generated Code Guardrails

Fast AI-assisted changes need repo-level security rails.

اقرأ التسليط →

متوسط· CWE-1357

نظافة أمان المستودع

حماية الفروع، تثبيت Actions، نظافة الأسرار — طريقة إدارة المستودع أهم من الشيفرة نفسها.

اقرأ التسليط →

متوسط

Reviewing repo code against web app risk patterns

اقرأ التسليط →