الانتقال إلى المحتوى الرئيسي
DataSouv
تدقيق
أمن التطبيقات

تدقيق الأمن التقني — أخذ المادة 23 من القانون 09-08 على محمل الجد

تقييم غير تدخلي لوضعية الأمن في موقعكم: ترويسات HTTP، TLS، سطح الهجوم، إعدادات البريد المضادة للانتحال، ملفات تعريف الارتباط، DNS. منهجية متوافقة مع Mozilla Observatory وOWASP ASVS. اختبار اختراق تطبيقي ممكن بـRules of Engagement تعاقدية.

طلب عرض سعرتدقيق مجاني في 60 ثانية

ما نتحقق منه

ثمانية مجالات، من التشفير إلى التعرض العمومي

لا يقتصر أمن التطبيقات على شهادة TLS. هذه هي المحاور التي نعالجها بشكل منهجي، والتي لا تغطيها الماسحات المجانية إلا نصفيًا.

  • ترويسات HTTP الأمنية

    Content-Security-Policy، Strict-Transport-Security (HSTS، preload، includeSubDomains)، X-Content-Type-Options، X-Frame-Options، Referrer-Policy، Permissions-Policy، Cross-Origin Isolation. مقارنة مباشرة مع تنقيط Mozilla Observatory.

  • TLS والتشفير

    إصدارات TLS المدعومة (1.2/1.3)، مجموعات التشفير، الشهادة (السلسلة، المدة، transparency log)، قائمة HSTS preload، تحويل منهجي HTTP → HTTPS، HPKP/CAA عند الاقتضاء.

  • سطح الهجوم الخارجي

    جرد النطاقات الفرعية المعروضة، الخدمات المتاحة (HTTP، API، admin، dev، staging)، نقاط النهاية المتقادمة، توقيعات الإصدارات، ترويسات التصحيح المنسية. البحث عن تعرضات عرضية عبر certificate transparency.

  • إعدادات البريد (مضاد للانتحال)

    SPF، DKIM، DMARC (مع سياسة reject/quarantine، alignment، rua/ruf). MTA-STS، TLS-RPT. التحقق من أن لا أحد يستطيع إرسال بريد باسمكم، شرط أساسي قبل أي تواصل مع اللجنة الوطنية.

  • ملفات تعريف الارتباط والمتتبعات

    جرد ملفات تعريف الارتباط المُودعة قبل وبعد الموافقة. الكشف عن المتتبعات الخارجية (Google، Meta، LinkedIn، إلخ)، البصمات والاتصالات cross-origin. اختبار الحجب الفعلي في وقت التشغيل.

  • DNS والبنية التحتية

    DNSSEC، وجود CAA، تعرض السجلات المتقادمة (TXT، SRV)، resolvers تكرارية، anycast. للمواقع الحرجة: اختبار الصمود أمام الاستيلاء على نطاق فرعي.

  • الثغرات الشائعة (OWASP)

    اختبارات سلبية متوافقة مع OWASP ASVS L1: حقن (parameters GET/POST جانب العميل)، XSS منعكس، إعدادات CORS، حساسية الأخطاء، تعرض stack traces، تدبير الجلسات. لا استغلال، فقط كشف.

  • الامتثال للجنة الوطنية

    البيانات القانونية، سياسة الخصوصية، شريط ملفات تعريف الارتباط الممتثل، security.txt (RFC 9116)، مسطرة الإخطار بتسرّب (المادة 23 من القانون 09-08 والتزامات اللجنة الوطنية).

مستويان

تدقيق معياري أو اختبار اختراق تطبيقي

حسب تعرض تطبيقكم، يكفي التدقيق غير التدخلي أو يصبح اختبار الاختراق ضروريًا. نوجهكم بصدق إلى المستوى المناسب — وليس بشكل منهجي إلى الأغلى.

تدقيق معياري غير تدخلي

5 إلى 7 أيام عمل

مواقع تعريفية، تجارة إلكترونية، تطبيقات عمومية في الإنتاج. لا يلزم ترخيص مسبق — مجرد ملاحظة عمومية.

  • تقرير تقني من 25 إلى 40 صفحة
  • نتيجة Mozilla Observatory محاكاة قبل/بعد
  • قائمة مرتبة بالتصحيحات مع أمثلة كود
  • خريطة سطح الهجوم الخارجي
  • عرض شفوي مدته 60 دقيقة

الاستثمار: ابتداء من 15.000 درهم

اختبار اختراق تطبيقي

10 إلى 20 يوم عمل

تطبيقات بالمصادقة، الأداء، API، فضاء الزبون. تتطلب عقد Rules of Engagement (النطاق، النوافذ، الطريقة)، ترخيص كتابي وبيئة اختبار مثاليًا.

  • اختبارات OWASP ASVS L2 أو L3 حسب الملمح
  • تقرير تقني مع إثباتات (proof-of-concept) وCVSS
  • درجة الخطورة، قابلية الاستغلال، توصيات التصحيح
  • إعادة اختبار مجانية خلال 60 يومًا على المجال المُصحَّح
  • عرض للإدارة وعرض تقني منفصلان

الاستثمار: بعرض سعر

المنهجية

خمس خطوات، قابلة للتتبع وتعاقدية

  1. 1

    النطاق والترخيص

    تحديد تعاقدي للنطاق: النطاقات، النطاقات الفرعية، التطبيقات، نوافذ زمنية، طرق مرخصة (سلبي فقط مقابل اختبارات نشطة). تبادل جهات اتصال تقنية لتدبير الحوادث.

  2. 2

    استكشاف سلبي

    جمع معلومات عمومية فقط: DNS، certificate transparency، أرشيفات عمومية، ترويسات HTTP. لا تفاعل عدواني مع بنيتكم التحتية.

  3. 3

    اختبارات مستهدفة

    بناءً على الاستكشاف، اختبارات مستهدفة ضمن النطاق المرخص. كل الاختبارات متعقبة، مؤرخة ومحدودة بما تم الترخيص به تعاقديًا. اختبارات آلية + تحقيق يدوي.

  4. 4

    التحقق من النتائج

    كل ثغرة تُتحقق منها يدويًا لإزالة الإيجابيات الكاذبة. درجة الخطورة وفق CVSS v3.1. قابلية الاستغلال موثقة دون تجاوز العتبة المتفق عليها.

  5. 5

    التقرير والمعالجة

    تقرير مرتب مع أمثلة كود تصحيحي عند الاقتضاء. معالجة موجَّهة إذا رغبتم (مراجعة pull request، مرافقة فريقكم).

أسئلة متكررة

ما يُطرح علينا في الجانب التقني

لماذا تدقيق «غير تدخلي»؟

لسببين. أولًا، يمكن تدقيق مواقع كثيرة بنسبة 70-80% بمجرد الملاحظة العمومية للترويسات وDNS والسطح المعروض — وهذا يلتقط أغلب القيمة. ثانيًا، التدقيق غير التدخلي لا يحتاج إلى ترخيص ثقيل ولا نافذة صيانة ويمكن إطلاقه فورًا. اختبار الاختراق التطبيقي مخصص للسياقات التي لا يكفي فيها التدقيق غير التدخلي.

هل تحتاجون النفاذ إلى بنيتي التحتية؟

للتدقيق غير التدخلي، لا. كل شيء يتم من الخارج، كزبون عادي. لاختبار الاختراق التطبيقي، نحتاج عادةً إلى حسابات اختبار بمستويات صلاحيات مختلفة، ومثاليًا بيئة ما قبل الإنتاج مماثلة للإنتاج. كل شيء مؤطر تعاقديًا.

ألا يقوم مزود الاستضافة (Hostinger، OVH، إلخ) بكل شيء؟

لا. المزود يوفر البنية التحتية وأحيانًا WAF، لكن إعدادات التطبيق (ترويسات CSP، ملفات تعريف الارتباط، تدبير الجلسات، التحقق من جانب الخادم، حماية البريد من الانتحال) تبقى مسؤوليتكم. أغلب المواقع المغربية التي ندققها تعرض إعدادات افتراضية لا تصمد ساعة أمام ماسح مجاني.

هل التقرير قابل للاستخدام من طرف مزودنا الحالي؟

نعم، وهذا هو الهدف. التقرير مكتوب ليُسلَّم إلى أي فريق تقني كفء — فريقكم، وكالتكم، المُكامِل. حين يتطلب التصحيح تغيير إعدادات الخادم، نقدم المثال الدقيق (مقتطف Nginx، Apache، ملف next.config، إلخ).

هل تغطون اختبارات الحمل أو الصمود؟

لا، ليس في هذه الخدمة. مجالنا هو أمن التطبيقات والامتثال التقني. لاختبارات الحمل والأداء وصمود الانقطاع، نوجهكم إلى متخصصين — أو ننسق التدخل إذا رغبتم.

هل هناك ارتباط بالامتثال للجنة الوطنية؟

مباشر. المادة 23 من القانون 09-08 تلزم المسؤول عن المعالجة بتنفيذ التدابير التقنية الملائمة لضمان أمن المعطيات. موقع بدون HSTS، بدون CSP، بملفات تعريف ارتباط متتبعة قبل الموافقة، ليس فقط ثغريًا تقنيًا: هو في إخلال. نربط بشكل منهجي النتائج التقنية بمتطلبات اللجنة الوطنية.

اختبار مجاني في 60 ثانية

اطلعوا على وضعية موقعكم قبل طلب عرض سعر

أداة التدقيق على الإنترنت تمنحكم نتيجة أولية إرشادية حول الترويسات وTLS والامتثال للجنة الوطنية. مجانية، دون بريد إلكتروني إلزامي، فورية.

إطلاق التدقيق المجانيالتحدث إلى إنسان