Postagens do Canal فريق الامن السيبراني العراقي

البطل الي فهمها بس من الريلز يكتبلنا هنا.

والي واجه صعوبة بفهمها خل يكتب أيضاً احنا موجودين نشرحله بالتعليقات.

شروحات عملية :

https://thedutchhacker.com/idor-on-tryhackme/

https://medium.com/@wiktorderda/idor-tryhackme-walkthrough-7369f7a34e9

https://medium.com/@akeelwani084/idor-tryhackme-walkthrough-61c4519998ca

https://infosecwriteups.com/idor-tryhackme-92823b28b1d

مصادر :

https://portswigger.net/web-security/access-control/idor
https://en.wikipedia.org/wiki/Insecure_direct_object_reference
https://www.geeksforgeeks.org/insecure-direct-object-reference-idor-vulnerability/
https://www.spiceworks.com/it-security/vulnerability-management/articles/insecure-direct-object-reference-idor/
https://medium.com/@KnightFreak/insecure-direct-object-references-idor-vulnerability-b54d88d32fd6

🕌 اليوم الاول من الدورة الرمضانية.
ثغرة IDOR ( Insecure direct object references) .

إحدى الثغرات الخطرة والسهلة في نفس الوقت وشائعة جداً.
يجد البعض صعوبة في فهمها لكنها قد تكون من أسهل الثغرات لإكتشافها.

سيناريو تخيلي للثغرة :-
تخيل ان لديك endpoint في أحد المواقع لحذف المنشورات ( تخيل مثلاً بوستات تطبيق إنستكرام )

instagram.com/api/deletePost

عند فحصك للrequest ستجد أن هنالك parameter او request body var.

instagram.com/api/deletePost?userid=1

POST /api/DeletePost

{

userid : 1 

}

هنا يأتي دور ثغرة الIDOR ففي حال أن المبرمج لم يضع تأكد ان رقم الحساب الذي قمت بإدخاله هو نفس رقم حسابك.

قد يقوم المخترق بالتلاعب بقيمة البارمتر userid ويستهدف حسابات اخرى لا يمتلك صلاحيات الوصول لها
قد تؤدي هذه الثغرة الى حذف الحسابات او التلاعب بمعلومات الحسابات وسرقة معلومات حساسة او التلاعب بالصلاحيات.

#iqcysramadan2025

https://www.instagram.com/reel/DGtKo0zN87r/?igsh=MTV1M3I3YjEzM210NA==

ضمن فعالياتنا الرمضانية.
سيتم يومياً نشر ريلز يتضمن اما ثغرة،اداة،تقنية.

يعني منا لنهاية رمضان ان شاء الله مضبطين الثغرات 🥰❤️

لحد يصرح.
الولد صار عنده شغل شخصي ونفتحت له افاق جديدة وقرر ينسحب.

بس يضل اخونا وصديقنا بكل وقت يعني لا اكو خلافات ولا شي

بكل التقدير والاحترام، نود أن نعلن عن انسحاب زميلنا أحمد ناجح من فريق الأمن السيبراني العراقي. لقد كان أحمد جزءًا مهمًا من فريقنا، وساهم بجهوده وخبرته في تحقيق العديد من الإنجازات.

نحن ممتنون لكل ما قدمه خلال فترة وجوده معنا، ونتمنى له كل التوفيق والنجاح في مسيرته المستقبلية، سواء على الصعيد المهني أو الشخصي.

يتقدم فريق الأمن السيبراني العراقي بأسمى آيات التهاني والتبريكات إلى الأمة الإسلامية عامةً، وإلى أهلنا في العراق خاصةً، بمناسبة حلول شهر رمضان المبارك.

نسأل الله أن يكون شهر خير وبركة عليكم، وأن يعيده عليكم بالأمن والأمان، والتقدم والازدهار. كما ندعو الله أن يوفقنا جميعًا لتعزيز الوعي الأمني وحماية فضائنا الرقمي من التهديدات السيبرانية.

رمضان كريم، وكل عام وأنتم بخير

البطل احمد ناجح.
حصل على 8000$ خلال اول شهرين من 2025.