إنجازات تقنية بأيدٍ ســــوريّة شاب ســـــــوري يكتشف ثــــــغـــرات حسّاسة بعدّة مواقع إلكترونية ..
  • 2022-12-11

إنجازات وأفكار كثيرة يشهدُها عالم التكنولوجيا في كل عام، فكيف إذا كانت هذه الإنجازات بأيدٍ ســـوريّــة.

 المهندس الســـوري المُغترب وأخصائي أمـــن المعلومات بـــراء حبّـــاب بدأ مشواره باكتشاف ثـــغــــرات ضمن أكبر المواقع منذ أعوام، وما زال للآن مُستمرّ بعمله ليُعلن مؤخراً عن ثــغــــراتٍ حرجـــــة جديدة.

 


 

كانت البداية في 2016_2017، حين اكتشف خطأ برمجي في موقع فيسبوك، واستطاع الدخول إلى العديد من الصفحات العامة والخاصة على الموقع، دون معرفة اسم المستخدم، أو البريد الإلكتروني، أو كلمة المرور وكأنه مالك للصفحة، بدايةً لم يصله أي رد من الموقع، ليكتشف لاحقاً أنه كان يقدم الثغرة بطريقة خاطئة، فدعم الطلب بأدلة لإثبات صحّة الاكتشاف، منها الدخول رسمياً إلى حساب المؤسس الثاني لشركة فيسبوك كريس هيوز، Chris Hughes، وكتابة عبارة باللغتين العربية والإنجليزية

"لا يوجد حماية 100٪، دائمًا هناك ثغرة مفقودة"

There is no 100% protection, there is always a missing bug

 

 

الثغرة الثانية كانت في 2017-2018، استطاع من خلالها الدخول إلى حسابات على موقع التواصل الاجتماعي فيسبوك، وهذه الثغرة مكّنته من معرفة الصور والفيديوهات والقصص التي حمّلها المستخدمون من موقع فيسبوك إلى هواتفهم وحفظوها على أجهزتهم دون أن ينشرونه.

 

 

أمّا بالنسبة للعام الحالي 2022 ..

 

في تموز 2022 أعلن عن اكتشاف ثغرة برمجية في موقع انستاغرام ، تخوّله أن يكتب أي شيء على صفحة فهرسة الموقع مباشرةً.



ومؤخراً أعلن عن اكتشاف ثغرة حرجة "Critical" في الموقع الرسمي لـ شركة تأمين أغلب البنوك المصرية الثغرة من نوع   Cross-site scripting (XSS) , Reflected

تَسمح للمُخترق بـ حَقن " أَكواد خَبيثة " في الموقع حتى يَصل الى قاعدة البيانات، ويطلب من قاعدة البيانات اظهار المعلومات المُخَزَنة فيها على شكل " رِسالة خطأ " ..

تُستخدم هذه الثغرة في سَرقة ملفات الارتِباط  " Cookies "، أو العنوان الفريد للجلسة الخاصة بمتصفح المُستخدِم " Session ID ".






لقاء سابق على قناة سما الفضائية: