خدماتنا
من التطوير إلى اختبار الاختراق — نغطي كل احتياجاتك التقنية والأمنية
تطوير مواقع وتطبيقات متقدمة
في cybhack، نحن لا نكتب مجرد أكواد برمجية؛ نحن نصمم حلولاً رقمية تفاعلية وقوية وآمنة من الصميم.
تطويرنا يعتمد على أحدث التقنيات مثل Laravel، Vue.js، و React، لضمان أداء عالٍ، وسلاسة في واجهة المستخدم (UI)، وتجربة مستخدم (UX) لا تُنسى. نراعي في كل سطر برمجي معايير الأمان المتقدمة بحيث يكون تطبيقك محمياً ضد الهجمات الشائعة منذ اليوم الأول.
ماذا نقدم
• بناء واجهات أمامية (Frontend) ديناميكية وعصرية.
• تصميم وبرمجة واجهات خلفية (Backend) قوية ومستقرة.
• تطوير تطبيقات جوال بـ Flutter أو React Native.
• ربط متقدم مع بوابات الدفع والـ APIs الخارجية.
• تصميم بنية قواعد البيانات لتحمل الضغط العالي والحجم الكبير.
المخرجات
• الكود المصدري الكامل ونظيف (Clean Code).
• وثائق تقنية (Documentation) تفصيلية للـ API.
• لوحة تحكم إدارية متكاملة لسهولة الإدارة.
• دليل الاستخدام وتدريب لفريقك.
• دعم فني وضمان لمدة 3 إلى 6 أشهر.
المدة التقريبية
4 – 16 أسبوع / Weeks
بناء أنظمة SaaS Multi-tenant
نصمم ونبني أنظمة برمجيات كخدمة (SaaS) قابلة للتوسع وتستضيف آلاف المشتركين في نفس الوقت بكفاءة عالية.
نضمن العزل التام للبيانات بين المستأجرين (Tenants) باستخدام أفضل تقنيات قواعد البيانات لضمان عدم تسرب أو تداخل معلومات العملاء. بالإضافة لذلك، نوفر أنظمة فواتير متكاملة وإدارة خطط اشتراكات مؤتمتة.
ماذا نقدم
• بنية Multi-tenant سليمة ومعزولة تماماً.
• دمج أنظمة فواتير معقدة مثل Stripe و Paddle.
• إدارة خطط الاشتراك والصلاحيات لكل مستأجر.
• لوحات تحكم مخصصة للمشرف العام والمستأجرين.
• تجهيز بنية تحتية سحابية (AWS / DigitalOcean) قادرة على التوسع التلقائي.
المخرجات
• نظام SaaS جاهز ومختبر تجارياً.
• وثائق البنية التحتية وقاعدة البيانات.
• أدلة المستخدم للمستأجرين الجدد.
• خطة مقترحة لتحجيم الخوادم (Scaling Plan).
المدة التقريبية
8 – 24 أسبوع / Weeks
اختبار اختراق الويب و API
لا تترك نظامك عرضة للاختراق! نقوم بمحاكاة هجمات سيبرانية حقيقية ومتقدمة لاكتشاف الثغرات الأمنية في تطبيقات الويب والـ APIs الخاصة بك قبل أن يستغلها القراصنة.
منهجيتنا تعتمد بشكل كامل على معايير OWASP وممارسات المعايير الصناعية (PTES)، حيث نجمع بين التحليل الآلي لكشف العيوب النمطية، والهجوم اليدوي العميق لكشف ثغرات المنطق البرمجي (Business Logic) التي تعجز الأدوات عن كشفها.
ماذا نقدم
• اختبار الصندوق الأسود/الرمادي/الأبيض (Black/Grey/White Box).
• محاولة اختراق آليات المصادقة والتفويض.
• اختبارات الحقن (SQLi, XSS, XXE, Command Injection).
• فحص منطق الأعمال لاكتشاف ثغرات مثل IDOR و Race Conditions.
• محاولات تخطي بوابات الدفع والتلاعب بالأسعار.
المخرجات
• تقرير فني تفصيلي (Executive & Technical Report) بمستويات الخطورة.
• خطوات إعادة استنتاج الهجوم (Proof of Concept).
• حلول تقنية (Remediation) لمعالجة الثغرات من الكود.
• جلسة إعادة اختبار (Re-test) مجانية بعد الإصلاح للتأكد من زوال الخطر.
المدة التقريبية
2 – 4 أسابيع / Weeks
اختبار اختراق تطبيقات الجوال
تطبيقات الهواتف الذكية (iOS و Android) تحمل بيانات حساسة جداً وتحتاج لطبقة أمان مضاعفة. نقوم بإجراء عمليات هندسة عكسية (Reverse Engineering) وتحليل ديناميكي وتخطي لحمايات النظام (Jailbreak/Root bypass) لمعرفة مدى صلابة تطبيقك.
نفحص طريقة تخزين البيانات محلياً على الجهاز، تشفير الاتصالات مع الخوادم، وجود ثغرات في مكتبات الطرف الثالث، ونضمن حماية تطبيقك من تسريب البيانات الشخصية أو المالية للمستخدمين.
ماذا نقدم
• تحليل ثابت (Static Analysis) لكود التطبيق والملفات المجمعة.
• تحليل ديناميكي (Dynamic Analysis) و اعتراض حركة مرور البيانات (Man-in-the-Middle).
• البحث عن الأسرار المشفرة والتشفير الضعيف داخل كود التطبيق المصدري.
• تجاوز حمايات الشهادات (SSL Pinning Bypass).
• اختبار ثغرات WebView وهجمات تسريب الـ Intents.
المخرجات
• تقرير تفصيلي يغطي معايير (OWASP MASVS).
• توثيق خطورة كل ثغرة (CVSS).
• إرشادات أمنية لمطوري Android و iOS لكيفية الحل الجذري.
المدة التقريبية
2 – 3 أسابيع / Weeks
اختبار اختراق الشبكات (داخلي/خارجي)
الخوادم والشبكات هي العمود الفقري لعملك. ثغرة واحدة في إعدادات جهاز توجيه (Router) أو خادم (Server) قد تمنح المهاجم السيطرة الكاملة على شبكتك الداخلية بالكامل.
نقوم بإجراء مسح شامل للمنافذ (Ports)، اكتشاف الخدمات النشطة، البحث عن معدات الشبكة غير المحدثة، واستغلال الثغرات المعروفة للوصول إلى الأنظمة ذات الصلاحيات العليا وإثبات قدرة المهاجم على سحب بيانات الشركة الحساسة (Active Directory).
ماذا نقدم
• اختبار اختراق خارجي (External Pentest) يحاكي هجوم من الإنترنت لخوادمك.
• اختبار اختراق داخلي (Internal Pentest) يحاكي موظف ساخط أو جهاز مخترق من الداخل.
• تقييم خدمات الدليل النشط (Active Directory Exploitation).
• تجاوز أنظمة منع الاقتحام وجدران الحماية (IDS/IPS Evasion).
• البحث عن إعدادات الـ Misconfiguration الصارخة في قواعد البيانات وخوادم الملفات.
المخرجات
• مخطط بهيكلية الشبكة المكتشفة والثغرات المرتبطة بكل نطاق.
• تصنيف المخاطر وتأثيرها على العمليات التجارية.
• توصيات قوية لإعدادات (Hardening) وتحديثات الخوادم.
المدة التقريبية
1 – 4 أسابيع / Weeks
المراجعة الآمنة للكود المصدري
الوقاية خير من العلاج. بدلاً من اكتشاف الثغرات بعد تشغيل نظامك واستغلالها من المخترقين، نقوم بإجراء فحص ياب وتدقيق شامل للشيفرة المصدرية (Source Code) الخاص بك سطرًا بسطر.
نجمع في نهجنا بين أدوات الفحص التلقائي المتقدمة (SAST) وعيون خبرائنا الفاحصة للبحث المتعمق عن أخطاء المنطق، دوال التشفير الضعيفة، المتغيرات المتسربة، وطرق معالجة المدخلات العشوائية.
ماذا نقدم
• فحص الكود للبحث عن ثغرات OWASP و SANS CWE Top 25.
• مراجعة آليات الجلسات (Sessions)، الرموز (Tokens)، والتشفير.
• تحليل تبعيات مكتبات الطرف الثالث (Dependency Checking) بحثاً عن CVEs معروفة.
• اكتشاف مفاتيح الـ API وكلمات المرور المخبأة في الكود (Hardcoded Secrets).
المخرجات
• تقرير يشير إلى رقم السطر الدقيق للثغرة في ملفات الكود.
• تصنيف للعيوب حسب مستوى الخطورة (Critical, High, Medium, Low).
• اقتراح الأكواد المصححة (Code Snippets) الجاهزة للاستبدال.
المدة التقريبية
1 – 3 أسابيع / Weeks
دمج الأمان في العمليات (DevSecOps)
لا تجعل الأمان عنق الزجاجة في نهاية التطوير. نقوم ببناء بيئات عمل تطويرية تتضمن فحوصات أمنية آلية في كل مرة يقوم فيها المطور برفع (Push) كود جديد إلى المستودع.
من خلال الـ CI/CD Pipelines (مثل GitHub Actions أو GitLab CI)، سيتم فحص الأكواد، المستودعات، وبناء الـ Docker Images آلياً بحيث يُمنع تسريب أي كود مصاب أو ضعيف إلى بيئة الإنتاج.
ماذا نقدم
• دمج أدوات SAST (تحليل كود ثابت) في سير عمل المطورين.
• دمج أدوات DAST و IAST أثناء دورة بناء واختبار بيئة التطوير.
• إعداد مدير الأسرار (Secrets Manager كـ HashiCorp Vault أو AWS Secrets).
• فحص الحاويات (Container Security & Docker Hardening).
المخرجات
• بيئة CI/CD آمنة وآلية تماماً.
• سياسة أمنية (Security Policy) ملائمة لسرعة التسليم (Agile).
• تدريب فريق المبرمجين على تبني عقلية الـ DevSecOps.
المدة التقريبية
3 – 6 أسابيع / Weeks
تقييم أمان الحوسبة السحابية
معظم اختراقات السحابة تحدث بسبب إعداد واحد خاطئ (Misconfiguration). سواء كنت تستخدم AWS، Azure، أو Google Cloud، نقوم بفحص معماريتك السحابية للتأكد من صلابتها ومقاومتها للاختراق.
نعمل على مراجعة الصلاحيات (IAM)، جدران الحماية السحابية، أذونات التخزين (S3 Buckets)، وتكوينات الشبكات المعزولة (VPCs) لضمان أقصى درجات حماية البيانات.
ماذا نقدم
• مراجعة بنية السحابة توافقاً مع أفضل ممارسات مزود الخدمة (CIS Benchmarks).
• فحص سياسات الوصول (IAM) ومبدأ الامتياز الأقل (Least Privilege).
• كشف مصادر التسريب المفتوحة للعالم (Public Storage / Open Ports).
• التقييم المعماري السحابي (Cloud Architecture Review).
المخرجات
• تقرير فجوات الأمان السحابية وطرق تغطيتها.
• استراتيجية التكوين الآمن (Secure Baseline Configuration).
• خارطة طريق للحماية من هجمات الاستحواذ على الحسابات (Account Takeover).
المدة التقريبية
2 – 4 أسابيع / Weeks
الاستجابة للحوادث والتحليل الجنائي
حين يقع الأسوأ وتتعرض شبكتك أو نظامك لاختراق فعلي، عامل الوقت هو الفارق بين النجاة والكارثة. فريق الاستجابة للحوادث لدينا (DFIR) مستعد للتدخل الفوري وتحجيم الهجوم وطرد المهاجمين.
نقوم بالتحليل الجنائي الرقمي لآثار المخترقين في الخوادم وقواعد البيانات لتحديد كيفية الدخول (Root Cause)، استخراج البرمجيات الخبيثة، وإعادة الأنظمة للعمل بأمان تام.
ماذا نقدم
• التدخل السريع לאحتواء الهجمات النشطة (Ransomware, Data Breach).
• التحليل الجنائي الرقمي للشبكات وأنظمة التشغيل والذاكرة العشوائية (RAM).
• تتبع وحصر النطاق المتأثر وتحديد الثغرة التي استغلها المهاجم.
• إزالة البرمجيات الخبيثة والأبواب الخلفية (Backdoors) لضمان عدم عودتهم.
المخرجات
• تقرير الحادث الشامل (Incident Report) مدعوم بالأدلة الجنائية.
• خطة التعافي واستعادة العمليات التجارية (Recovery Strategy).
• التوصيات المعمارية لمنع تكرار الهجوم مستقبلاً.
المدة التقريبية
استجابة طارئة (24/7)
الالتزام والحوكمة (GRC)
ملاءمة أعمالك مع سياسات وقوانين الأمن السيبراني لم تعد خياراً بل ضرورة قانونية وتجارية. نساعد مؤسستك في التوافق مع المعايير الحكومية العالمية والمحلية والوصول للحوكمة المثالية.
سواء أكانت الهيئة الوطنية للأمن السيبراني بالسعودية (NCA ECC/CCC)، أو معايير أمن بيانات بطاقات الدفع (PCI-DSS)، أو معايير الجودة 27001 ISO، نقوم بتقييم الفجوات وبناء السياسات وإعدادك للاجتياز بنجاح.
ماذا نقدم
• التقييم المبدئي وتحليل الفجوات (Gap Analysis) مع ضوابط الأمن.
• صياغة وكتابة سياسات وقواعد وإجراءات أمن المعلومات للمؤسسة.
• تأهيل كامل وتحضير لمراجعات الامتثال (Auditing Prep) لمعايير NCA وغيرها.
• إنشاء خطط التوعية الأمنية (Security Awareness) للموظفين وإداراتها.
المخرجات
• تقرير تفصيلي لمدى النضج الأمني (Security Maturity Report).
• دليل سياسات أمن المعلومات جاهز للتطبيق المعياري.
• استراتيجية حوكمة وإدارة المخاطر قابلة للتنفيذ.
المدة التقريبية
4 – 12 أسبوع / Weeks