فحص أمني للموقع والتطبيقات في الأردن — وفق OWASP، مع علاج عملي، لا تقرير من 200 صفحة.
تدقيق تطبيقات الويب والجوال والـ APIs والبنية التحتية. نتائج مصنفة بحسب قابلية الاستغلال والأثر، مع إصلاحات على مستوى الكود. متابعة اختيارية لتنفيذ الإصلاحات.
كل شيء، من البداية للنهاية
النطاق ونمذجة التهديدات
نحدد ما داخل النطاق وما خارجه، وما يهتم به المهاجمون فعلاً لشركتك. نمذجة تهديد STRIDE مشمولة.
تدقيق تطبيق الويب
تغطية OWASP Top 10: Injection و Auth و Session و IDOR و XSS و CSRF و Deserialization و Secrets وثغرات منطق الأعمال.
تدقيق تطبيق الجوال
تحليل ثابت + ديناميكي. تخزين غير آمن، Certificate Pinning، كشف Jailbreak/Root، استغلال Deep Links، ثغرات IPC.
أمن الـ API
تجاوز المصادقة، Rate Limiting، Mass-Assignment، BOLA، تسريب بيانات مفرط، أخطاء JWT.
فحص الاعتماديات
SCA لجميع الحزم. تقييم CVE في السياق — معظم CVEs ضوضاء، نخبرك بأيها مهمة لك فعلاً.
مراجعة البنية التحتية
إعدادات السحابة (Cloudflare, GCP, AWS)، IAM، إدارة الأسرار، التعرض الشبكي، سلامة النسخ الاحتياطي، الاحتفاظ بالسجلات.
تقرير بحدّة وإصلاح
كل نتيجة: خطوات إعادة الإنتاج، الحدّة (CVSS)، الأثر التجاري، والكود أو الإعداد الفعلي الذي يصلحها.
Sprint علاج اختياري
نستطيع تنفيذ الإصلاحات بأنفسنا — متابعة بسعر ثابت حتى تُطبّق الإصلاحات فعلاً.
كيف نسلّم
مكالمة نطاق (مجانية، 30 دقيقة)
ما الذي يحتاج مراجعة، لماذا، وكيف يبدو 'الجيد' بالنسبة لك. المخرج: نطاق مكتوب وسعر ثابت.
اكتشاف (3-5 أيام)
مراجعة المعمارية، نمذجة التهديد، إعداد الوصول للبيئة، خط أساس للأدوات الآلية.
تدقيق يدوي (1-3 أسابيع)
مراجعة يدوية حيث تهم. أدوات آلية للاتساع. سجل نتائج يومي مشارك معك.
تقرير وجلسة قراءة (أسبوع)
تقرير مكتوب + جلسة حية 90 دقيقة ليفهم فريقك كل إصلاح.
Sprint علاج اختياري
نُصلح Critical/High بأنفسنا بسعر ثابت.
نطاق ثابت. سعر ثابت.
تدقيق مركّز
تطبيق ويب واحد أو API
- ◆مراجعة يدوية + آلية
- ◆تغطية OWASP Top 10
- ◆تقرير مكتوب + جلسة 60 دقيقة
- ◆30 يوم متابعة أسئلة
تدقيق قياسي
ويب + API + اعتماديات
- ◆نمذجة تهديد مشمولة
- ◆مراجعة إعدادات البنية
- ◆جلسة 90 دقيقة
- ◆إعادة اختبار الإصلاحات (جولة واحدة)
تدقيق شامل + علاج
تدقيق + نُصلح Critical
- ◆ويب + جوال + API + بنية
- ◆نمذجة تهديد كاملة
- ◆كل Critical/High نُرقّعها بأنفسنا
- ◆إعادة اختبار بعد العلاج
بنّاء، لا مقاول.
تدقيق يقوده بانٍ
أكتب نفس الكود الذي أدقّقه. النتائج تأتي بإصلاحات واقعية، لا 'فكّر في تطبيق Defense in Depth'.
تقارير بلا ضوضاء
معظم تقارير التدقيق تطغى عليها ضوضاء CVE لا يستطيع أحد التصرف بناءً عليها. نُصنّف بحسب قابلية الاستغلال في سياقك.
NDAs قياسية
NDA متبادلة قبل أي وصول للكود. نوقّع لكم أو نستخدم نموذجنا.
أسئلة قبل البدء
كم تكلفة فحص أمني للموقع؟
التسعير يعتمد على النطاق. احجز مكالمة استكشاف مجانية 20 دقيقة (أو تواصل عبر WhatsApp) — تحصل على نطاق مكتوب وسعر ثابت خلال 48 ساعة. المشاركات بنطاق ثابت أو Retainer شهري بحسب ما يناسب.
كم يستغرق التدقيق الأمني؟
تدقيق مركّز: 1-2 أسبوع. تدقيق قياسي: 3 أسابيع. تدقيق شامل: 4-6 أسابيع. مكالمة نطاق مجانية 30 دقيقة قبل أي التزام.
هل أنتم Penetration Testers معتمدون؟
نعمل مع Penetration Testers معتمدين حين يلزم. الاستوديو متخصص في النتائج *القابلة للإصلاح* — لا مجرد اكتشاف — وتقارير مكتوبة بلغة يستطيع مهندسوك التصرف بها.
هل تحتاجون للوصول إلى الكود المصدري؟
White-box (مع المصدر) يلتقط ثغرات أكثر بكثير من Black-box. مفضّل بشدة، خاصة لتدقيق الويب و API.
هل توقّعون على اتفاقية السرية NDA؟
نعم. NDA متبادلة قياسية قبل أي وصول للكود. نوقّع لكم أو نستخدم نموذجنا.
كيف بنينا أنظمة مشابهة
ما الذي يبنيه الاستوديو أيضًا
تطوير مواقع الويب
مواقع وتطبيقات ويب على مستوى الإنتاج بتقنيات Next.js و React و Node و Python، مصممة للتوسع والتحويل.
تطوير تطبيقات الجوال
تطبيقات iOS و Android بأداء أصلي — React Native و Expo، مزامنة فورية، مدفوعات آمنة، وجاهزة للنشر.
أنظمة إدارة وبرمجيات أعمال مخصصة
أنظمة ERP، أنظمة مالية، لوحات تحكم، أدوات إدارية — مبنية حسب طريقة عمل شركتك الفعلية.
هندسة SaaS و MVP للشركات الناشئة
من الفكرة إلى منتج جاهز خلال أسابيع — مصادقة، اشتراكات، multi-tenancy، رقابة — جاهز للمستثمرين.
قيادة هندسية واستشارات تقنية
مدير تقني بدوام جزئي للشركات الناشئة والنامية — هندسة، توظيف، تسليم، وثقافة هندسية.
هل أنت جاهز للبدء؟
مكالمة استكشاف مجانية 20-30 دقيقة. لا التزام. تخرج بنطاق وميزانية وجدول زمني واضحين.
اطلب تدقيقًا