@vyber__ كفووك الطيب, الله يرفع قدرك🙏🏻🩷
باختصار
ما جبت API Key سري ولا شيء, الـ API Key كان ظاهر بالفرونت والسيرفر ما يتحقق منه أصلًا ولا يتحقق من الـ user_id أو الافنت, فكنت أقدر أرسل أي بيانات وكأنها حقيقية، لأن ما فيه أي validation يثبت إنها جايه من مستخدم فعلي..
الحمدلله.
انتهت مشاركتي في Bug Bounty Junior ضمن بلاك هات 5 بالمملكة. فخورة بكوني ضمن أفضل 35 ناشئًا مكتشف ثغرات، وتمكنت من اكتشاف 15+ ثغرة بينها حرجة ورفعت تقارير بتصنيف Excellent.
شكرًا لـ أكاديمية طويق ومدربيني، ولـ منصة مكافأة الثغرات على هذه الفرصة.
نراكم السنة القادمة !!
يعني باختصار:
قدرت أزوّر بيانات التحليلات بالكامل، وأرسل أحداث وهمية، والنظام يعاملها كأنها حقيقية ..
ووصلنا للنهاية شكرًا لقراءتكم🩶,
ولو حبيتوا الاستزاده بالموضوع بترك لكم بعض المصادر تحت.