تخطَّ إلى المحتوى
CyberXhunt
اختبار أمن التطبيقات لفرق منتجات البرمجيات

اختبار أمن تطبيقاتكيجب أن يكتشف ما تفوته الماسحات.

تختبر CyberXhunt تطبيقات الويب وواجهات برمجة التطبيقات وتطبيقات الجوال بخبرة تقودها الاختبارات اليدوية ومدعومة ببحوث حقيقية في الثغرات — بما في ذلك CVE موثقة، ومساهمات في نواة لينكس، واعترافات أمنية علنية. نحن نقدّم نتائج يمكن لفريقك الهندسي العمل عليها، لا ضجيج ماسحات يحتاج إلى تحقيق.

طلب تحديد نطاق المشروع
 اطّلع على آلية الاختبار

نراجع كل طلب ونرد بخطوة تحديد النطاق التالية — بدون متابعة آلية، وبدون تحويل إلى فريق مبيعات.

اعتمادات موثقة

نواة لينكسأمن MetaInstagramأبحاث CVE

تنفيذ أمني مدعوم بالبحث

يعتمد اختبار CyberXhunt على أبحاث نشطة في الثغرات — اكتشافات CVE موثقة، ومساهمات في نواة لينكس، واعترافات أمنية على مستوى المنصات. ويترجم هذا العمق البحثي مباشرة إلى نتائج يمكن لفريقك الهندسي العمل عليها.

البحث العلني والنتائج المعترف بها علنًا هما دليل على العمق التقني، ويُنقلان مباشرة إلى تسليمات العملاء: تحليل أوضح للأسباب الجذرية، وقرارات أفضل لتحديد النطاق، وإرشادات معالجة تساعد فريقك على التحرك بثقة.

مساهم في نواة لينكس

8 ترقيعات مقبولة في نواة لينكس (2024)، ما يثبت إتقانًا منخفض المستوى ذا صلة بالاختبارات التقنية العميقة.

اكتشافات CVE

ثغرات موثقة تشمل CVE-2024-26855 وCVE-2025-37858، بما يدعم نهج تقييم تقوده الأبحاث.

اعتراف علني

7 مرات في Meta Security Hall of Fame، ومرشح نهائي في SPIEF 2022، والمركز الأول في مسابقة CTF وطنية.

عرض الإثبات الكامل

commit 8f4d2a1b3c...

الكاتب: CyberXhunt Research <research@cyberxhunt.com>

التاريخ: Mon Feb 12 14:32:00 2024 +0200

[PATCH] mm/memory.c: إصلاح حالة تسابق محتملة في...

+ spin_lock(&mm->page_table_lock);

+ flush_tlb_page(vma, address);

8+
ترقيعات النواة
7x
قاعة مشاهير Meta
PhD
باحث دكتوراه
100%
مدفوع بالبحث

محفظة الخدمات

Security testing across the surfaces your product depends on.

تحدّد CyberXhunt نطاق أعمال الويب وواجهات برمجة التطبيقات والجوال ومراجعة الشيفرة والتحقق من DAST حول الأسطح الفعلية التي تحتاج فرق المنتجات إلى الثقة بها.

No overselling adjacent services. No scope inflation. If the work does not fit your current risk question, we say so.

اختبار أمن التطبيقات

اختبار تقوده الخبرة اليدوية مع أتمتة موجّهة لفرق المنتجات التي تحتاج إلى نتائج موثقة، وإرشادات معالجة عملية، ومسار واضح لتحديد النطاق.

تطبيقات الويب

منصات SaaS، ولوحات التحكم، والأنظمة المعتمدة على المتصفح

واجهات برمجة التطبيقات وأنظمة الخلفية

REST وGraphQL وبُنى الخدمة إلى الخدمة

تطبيقات الجوال

تطبيقات iOS/Android والتخزين والنقل والتفاعل مع الخلفية

اختبار أمن التطبيقاتOWASP ASVS

اختبار أمن تطبيقات الويب

اختبار يدوي لتطبيقات الويب يركز على قابلية الاستغلال الفعلية، وإساءة استخدام منطق الأعمال، ومسارات الهجوم الموثقة، وسير العمل الحرج قبل الإصدار.

  • سير العمل الموثق وغير الموثق عبر السطح المستهدف المتفق عليه
  • منطق الأعمال، والتفويض، وإدارة الجلسات، وإجراءات المستخدم عالية الخطورة
  • تغطية OWASP Top 10 مع تحقق بشري من قابلية الاستغلال
  • تغطية مدعومة بالأدوات إلى جانب الاختبار اليدوي — كل نتيجة تُراجع وتُتحقق من قبل شخص قبل التسليم

مرتكز الموثوقية: البحث العلني وأعمال CVE يعززان العمق في الحالات الطرفية المعقدة

عرض نطاق الخدمة
اختبار أمن التطبيقاتOWASP API

اختبار أمن واجهات برمجة التطبيقات

اختبار أمن واجهات برمجة التطبيقات مع تركيز على التفويض، وانكشاف الكائنات، وإساءة الاستخدام المنطقي، والتعامل مع البيانات، وحدود الثقة في الخلفية.

  • اختبار المصادقة والتفويض بما في ذلك مسارات BOLA وBFLA
  • معالجة المدخلات، وضبط المعدل، وانكشاف البيانات، وتغطية حالات الإساءة
  • اختبار على مستوى الطلب عبر REST وGraphQL وتدفّقات الخلفية ضمن النطاق
  • اختبار يدوي مدعوم بالأتمتة لرسم الخرائط وإعادة التشغيل وجمع الأدلة

مرتكز الموثوقية: نهج اختبار تقوده الأبحاث للأنظمة كثيفة المنطق وعالية الثقة

عرض نطاق الخدمة
اختبار أمن التطبيقاتOWASP MASVS

اختبار أمن تطبيقات الجوال

اختبار تطبيقات الجوال على iOS وAndroid ويشمل وسائل الحماية في العميل، والتخزين، والنقل، وإدارة الجلسات، ومخاطر التفاعل مع الخلفية.

  • التخزين في جهة العميل، والتعامل مع الأسرار، والنقل، وسلوك الجلسات
  • تدفّقات تطبيق Android أو iOS عبر البناء المحدد أو نسخة الإصدار المرشحة
  • التحقق من إساءة التفاعل مع الخلفية عبر تدفّقات الجوال
  • اختبار يدوي مدعوم بالأتمتة لفحص الحركة وإعادة تشغيل التدفّقات وتوسيع التغطية

مرتكز الموثوقية: عمق بحثي مفيد للحالات الطرفية التي تتجاوز قوائم التحقق القياسية للجوال

عرض نطاق الخدمة
التحقق من الشيفرة ونتائج الفحصNIST SSDF

مراجعة الشيفرة الآمنة

نحن نقرأ الشيفرة كما يقرأها المهاجم. تكشف مراجعة الشيفرة المصدرية عن الثغرات المنطقية والأنماط القابلة للاستغلال التي لا يكتشفها أي ماسح آلي، ثم نتحقق من أي نتائج الماسحات حقيقية وتستحق الإصلاح.

  • مراجعة يدوية لمسارات الشيفرة الحرجة وحدود الثقة
  • التحقق من نتائج SAST وإزالة التكرار وتشكيل الأولوية
  • تحليل استغلال موجّه وتحليل السبب الجذري على مستوى الشيفرة
  • قائمة إصلاحات مرتبة حسب الأولوية تفصل الإشارة عن الضجيج مع سياق معالجة جاهز للمطورين

مرتكز الموثوقية: تحليل تقوده الأبحاث ومفيد للحالات الطرفية التي تعلّمها الماسحات بشكل سيئ

عرض نطاق الخدمة
التحقق من الشيفرة ونتائج الفحصDAST / التعرّض

التحقق من DAST وفرز نتائج الماسحات

أكّد أي نتائج الماسحات حقيقية. توقّف عن استنزاف وقت الهندسة في ملاحقة الإيجابيات الكاذبة — نحن نتحقق حيًا، ونؤكد قابلية الاستغلال، ونفصل الخطر الحقيقي عن ضجيج الماسحات.

  • التحقق من نتائج DAST وتأكيد الاستغلال حيث يلزم
  • التحقق من سطح الهجوم عبر مسارات ويب وAPI محددة
  • اختبار ديناميكي موثّق عند توفر الوصول
  • تأكيد بشري للنتائج مع إرشادات ترتيب الأولوية لفرق الهندسة والإصدار

مرتكز الموثوقية: المراجعة اليدوية تقلل الثقة الزائفة الناتجة عن سير العمل المعتمد على الأتمتة فقط

عرض نطاق الخدمة
See all services and scope definitions

لماذا يهم ذلك

اختبار مدعوم ببحث فعلي، لا بمخرجات الأدوات.

تقوم معظم شركات الاختبار الأمني بتشغيل مجموعة أدوات ثم تُخرج تقريرًا من النتائج. نحن نتعامل مع كل ارتباط بالطريقة التي يتعامل بها الباحث مع الهدف: بحكم تقني حول ما يهم، وما هو قابل للاستغلال، وما الذي تعنيه النتيجة فعليًا لتطبيقك.

قابلية استغلال موثقة

نؤكد كل نتيجة يدويًا قبل أن تدخل تقريرك. إذا لم نتمكن من إثبات الاستغلال، فلن تُسلم كنتيجة حرجة.

مخرجات جاهزة للمطورين

التقارير منظّمة للمهندسين الذين سيعالجون المشكلات: خطوات إعادة الإنتاج، والسبب الجذري، وإرشادات الإصلاح، وسياق CVSS — لا أوصافًا غامضة تتطلب مكالمة متابعة لفهمها.

حكم تقني مستند إلى البحث

تنبع منهجيتنا من أبحاث نشطة في الثغرات ضمن أنظمة إنتاجية. عندما نحدد خطرًا، فذلك لأننا نفهم كيف يجده المهاجمون — لا لأن ماسحًا منحه درجة CVSS مرتفعة.

عرض الإثبات الكامل

Verifiable Credentials

8 Accepted Linux Kernel Patches (2024)

Low-level systems work demonstrating the technical depth behind application-layer testing.

CVE-2024-26855 & CVE-2025-37858

Documented vulnerabilities in production systems. Research methodology finds real issues, not theoretical ones.

7× Meta Security Hall of Fame

Vulnerabilities found in Facebook and Instagram — validating application security methodology at production scale.

Public, verifiable credentials — not placeholder logos. Visit the proof page for external source links.

متى تعمل الفرق معنا

أربع حالات تكون فيها CyberXhunt مناسبة.

قبل الإصدار

قبل إطلاق ميزة رئيسية

فريقك يطلق سطحًا جديدًا أو ميزة مهمة ويحتاج إلى التحقق من الأمن قبل النشر. نحدد نطاق تقييم موجّه، ونختبر مسارات الهجوم المهمة، ونقدّم النتائج في الوقت المناسب للإصلاح قبل الإطلاق.

مراجعة مؤسسية

قبل مراجعة أمنية من عميل أو جهة مؤسسية

عميل محتمل يطلب تقرير اختبار اختراق ضمن إجراءات العناية الواجبة. أنت بحاجة إلى نتائج موثوقة وموثقة جيدًا — لا تقريرًا شكليًا. نحن نقدّم تقريرًا تقنيًا جاهزًا للتدقيق وملخصًا تنفيذيًا مناسبًا لجهات المشتريات.

فرز نتائج الماسحات

عندما ينتج ماسح DAST ضجيجًا

فريقك يشغّل الفحص الآلي وينتج نتائج لا يمكنك ترتيب أولوياتها بثقة. نتحقق من أي القضايا حقيقية، وأيها إيجابيات كاذبة، وأيها يجب إصلاحه أولًا — قبل أن يهدر فريقك الهندسي الوقت في مطاردة مشكلات غير حقيقية.

أول تقييم

عندما تحتاج إلى أول تقييم أمني لك

لم يسبق لك إجراء تقييم أمني احترافي. أنت بحاجة إلى فهم ملف المخاطر الفعلي لديك — لا شراء شهادة. نحدد نطاق العمل وفق سطح الهجوم الحقيقي لديك ونمنح فريقك نقطة انطلاق واضحة.

طلب تحديد نطاق المشروع
1
Scope DefinitionSurface · Access model

Target surface (web, API, mobile, code) and black-box or grey-box access confirmed before work begins.

2
Manual Testing & ValidationEvery finding confirmed

Applied testing against the scoped surface. Every significant finding validated manually — exploit evidence captured before delivery.

3
Reporting & RemediationDeveloper-ready output

Technical report with reproducible findings, executive summary, remediation guidance, and retest as scoped.

نتائج مدعومة بالبحث

Technical report Executive summary Reproducible PoC Remediation guidance Retest (as scoped)

كيف يعمل الاختبار

تحافظ CyberXhunt على بساطة مسار الشراء مع دقة مسار التنفيذ. يتم تحديد النطاق وفق السطح المستهدف ومستوى الوصول، وتُتحقق الأدلة يدويًا، ويرتبط دعم المعالجة بالنتائج الفعلية.

1
تحديد النطاق حسب السطح ونموذج الوصول

تحديد ما إذا كان العمل يخص الويب أو API أو الجوال أو مراجعة الشيفرة أو أعمالًا بحثية مكثفة، بالإضافة إلى الوصول بصندوق أسود أو رمادي.

2
التحقق من الأدلة، لا من ضجيج الماسحات

نطبق تقنيات الاختبار المناسبة ضمن النطاق المتفق عليه. كل نتيجة يتم التحقق منها يدويًا — وإذا لم نستطع إثبات الاستغلال، فلن نعدّها حرجة.

3
دعم المعالجة وإعادة الاختبار

نقدّم إرشادات المعالجة، ونراجع الإصلاحات مع الفريق الهندسي، ونعيد اختبار القضايا الحرجة عندما يتضمن النطاق التحقق منها.

المخرجات المعتادة: نتائج قابلة لإعادة الإنتاج، وتقرير تقني، وملخص تنفيذي، وإرشادات معالجة، وتوقعات إعادة الاختبار بما يتوافق مع نطاق المشروع.

طلب تحديد نطاق المشروع

كيف نحدّد النطاق

استخدم هذه النماذج لاختيار مسار تحديد النطاق المناسب. يعتمد النطاق النهائي على السطح المستهدف، ونموذج الوصول، والتعقيد، وما إذا كانت مراجعة الشيفرة أو الأعمال البحثية مشمولة.

أساسي

مراجعة سطح مركزة

الأفضل لسطح منتج واحد يحتاج إلى مسار قرار أمني واضح.

ارتباط بنطاق واحد

هدف واحد ضمن النطاق مثل Web أو API أو Mobile

  • الأنسب للشركات الناشئة أو فرق المنتجات ذات سطح إصدار رئيسي واحد
  • نتائج مدعومة بالأدلة مع إرشادات معالجة
  • تقرير تقني وملخص تنفيذي
  • الترقية عند أهمية تعدد الأسطح المترابطة أو مسارات الوصول الأعمق
طلب تحديد نطاق المشروع
الأكثر طلبًا
متعدد الأسطح

ضمان متعدد الأسطح

الأفضل للمنتجات المترابطة التي تحتاج إلى تغطية أعمق لسير العمل والتفويض.

ارتباط بنطاق موسع

نطاقان مترابطان أو سطح موثّق واحد معقد

  • الأنسب لمنتجات SaaS أو fintech أو المنتجات الموثّقة المعقدة
  • عمق في منطق الأعمال والتفويض عبر سطح الهجوم المحدد
  • جلسة معالجة للمطورين ومخرجات مرتبة حسب الأولوية
  • الترقية عند الحاجة إلى مراجعة الشيفرة أو اختبار تقوده الأبحاث
طلب تحديد نطاق المشروع
DAST / Exposure

نطاق بحث مخصص

الأفضل للفرق التي تشغّل الماسحات بالفعل وتريد تحققًا بشريًا من التعرض والنتائج الديناميكية.

ارتباط تحقق ديناميكي

التحقق من DAST، والاختبار الديناميكي الموثّق، والتحقق من سطح الهجوم

  • الأنسب للمكونات الحرجة والمجهولات التقنية الأعمق
  • مراجعة الشيفرة الآمنة أو أعمال بحثية مركزة حسب النطاق
  • تحليل السبب الجذري وإرشادات المعالجة الهندسية
  • استخدمه عندما لا تكون رؤية اختبارات الاختراق التقليدية كافية
طلب تحديد نطاق المشروع
التسعير الرقمي غير معروف. يتشكل تحديد النطاق وفق عدد الأصول، ونموذج المصادقة، ووصول البيئة، وما إذا كانت مراجعة الشيفرة أو التحقق من نتائج الماسحات أو الأعمال البحثية المكثفة مطلوبة.

عمق بحثي يدعم التنفيذ الأمني

تقود CyberXhunt بعمل بحثي قابل للتحقق علنًا، ونتائج معترف بها، ومصداقية تشغيلية عملية — لا بشهادات شكلية أو شعارات مختلقة.

لماذا يهم هذا لنتائج العملاء

البحث والاكتشاف

العمق التقني

  • 8 ترقيعات مقبولة في نواة لينكس (2024)
  • ثغرات موثقة تشمل CVE-2024-26855 وCVE-2025-37858
  • خبرة عملية في التحقق من الاستغلال، وتحليل الأسباب الجذرية، وإرشادات المعالجة

لماذا يهم هذا لنتائج العملاء

اعتراف علني

الإشادات

  • 7 إشادات في Meta Security Hall of Fame
  • ثغرات مكتشفة في Facebook وInstagram
  • اعتراف في SPIEF 2022 ومسابقة CTF على المستوى الوطني

استخدم مسارات الخدمات لربط هذا النهج القائم على الإثبات بنطاق الاختبار المحدد والمخرجات والخطوات التالية.

التشغيل + البحث

العقلية

  • العمق البحثي يدعم تنفيذًا عمليًا لعملاء حقيقيين
  • نتائج مدعومة بالأدلة بدلًا من ضجيج الماسحات
  • إرشادات معالجة مصممة لفرق المنتج والهندسة

قرارات أوضح لتحديد النطاق في ارتباطات الويب وAPI والجوال والأعمال كثيفة الشيفرة

عرض الإثبات الكاملطلب تحديد نطاق المشروع

طلب تحديد نطاق المشروع

شارك السطح المستهدف، وسياق الشراء، والتوقيت المطلوب للعمل. ستراجع CyberXhunt الطلب وترد بخطوة تحديد النطاق التالية.

يتم التعامل مع الاستقبال الأولي عبر مسار تحديد نطاق التطبيق. لا تضمّن أسرارًا أو بيانات اعتماد الإنتاج في الرسالة الأولى.