Fahad Aljuaid

الحمدلله❤️ حصلت على شهادة Certified Web Exploitation Specialist (CWES) من @hackthebox_eu #CWES

@0xomar0 فنان ياعمر 👏🏻👏🏻

🔴Business Logic — Disabling Payment On The Website بسم الله الرحمن الرحيم تخيل إنك صاحب متجر، وفجأة مهاجم قدر يعطل الدفع بالكامل… ولا عميل يقدر يشتري أي شيء من الموقع. هذا بالضبط اللي صار 👇

@stuipds ابدعت 👏🏻👏🏻

كيف قدرت اكتشف ثغرات حرجة في اكبر شركة توصيل للطعام؟ فوق ال+20,000$ 1- اختراق فوق ال380K الف مطعم 2- GraphQL Path Traversal Led to Modify Menu Price 3- سحب ارباح اي سائق في الشركه حياكم الله ان شاء الله تستفيدون. عند التعامل مع تارقت ضخم، اكبر خطأ هو انك تبدا مباشرة بالfuzzing او الريكون الغير مفهوم بدون فهم المنظومة. أول ما ركزت عليه هو اني افهم الـ Business Logic، لأن كثير من الثغرات الحرجة في المنتجات الكبيرة تكون منطقية اكثر. الشركة عندها اكثر من نوع مستخدم: عميل يطلب (Customer)، سائق يوصل (Couriers)، مطعم يستقبل (Restaurant). كل طرف له موقع وتطبيق خاص وAPIs مختلفه. عادة هذا يعني ان النظام معقد، ومع التعقيد تزيد الثغرات, وهذي افضل فرصة بالنسبة لك كبق هنتر انك تستعملهم كلهم عشان تطلع ثغره وهذا اللي صار. -1 Stealing Money Allowing Withdrawal Of Couriers To Attacker. $3,000 زي ماهو واضح بالعنوان قدرت اني استغل الثغرة هذي بحيث ان فلوس سواق الشركه تتحول للبطاقتي. بالبدايه بيجيكم تساؤل كيف قدرت القاها, للسواقين الشركه لهم تطبيق كامل قدرت اني ادخل على حسابي الي سويته وانا اتصفح التطبيق شفت شي غريب! لفت انتباهي وجود ميزة مالية حساسة: “Fast Cash”. الفكرة بسيطة السائق يقدر يسحب أرباحه مباشرة على بطاقته بدل ما ينتظر التحويل المعتاد. في اول ريكويست حاولت اسوي setup للمعلومات بطاقه بعدين جاني API غريب مربوط مع Stripe عشان توضح الصوره Stripe يسوي Tokenize للبطايق للشركه هذي ويحفظها بسيرفر خاص ويعطي بطاقتك unique ID بحيث انها تكون محميه وهذا دايقرام بسيط يشرح الي يصير زي ماهو موضح بالريسبونس عطانا توكن ايدي بناء على البطاقه طيب لو مشينا على الفلو حق التطبيق بنلاحظ الريكويست الثاني غريب جدا.

@aa_8989 @BugBountySA @SAFCSP ماشاء الله تبارك الله ، الف الف مبروك مبدع ماهي غريبة عليك

الحمدلله من قبل ومن بعد — تخطيت حاجز المليون ريال في منصة مكافآت الثغرات @BugBountySA كانت رحلة مليئة بالتجارب والتحديات. فخور بأن أكون جزءًا من الجهود الوطنية لحماية وتعزيز أمن الأصول والأنظمة الحيوية في المملكة. شكر خاص للاتحاد السعودي للأمن السيبراني والبرمجة والدرونز @SAFCSP على تمكين الباحثين ودعم منظومة الأمن السيبراني في المملكة. Reached SAR 1,000,000+ in rewards on bugbounty.sa 🎯 Hard work, persistence, and continuous learning deliver results. On to the next million. 🚀

@firfox20 فنان ماشاء الله تبارك الله 👍🔥

مشروع 👨‍🎓 اللي اشتغلت عليه نظام الري الذكي مع واجهة مستخدم Smart irrigation System وكانت اول مره اتعلم IOT واساسيات في ESP32 والاسلاك الكهربائية والتوصيلات وحبيت اسوي مشروع من اشياء ذو طابع جديد ومنزلي وبديت من الصفر اخذ مني شهرين و27 يوم 💯 👊🏻❤️

الحمدلله إنجاز خفيف 😊، حصلت على شهادة API-RTA الخاصة بإختبار إختراق الـAPI’s من @cyberwarfarelab

@srootx_h @TuwaiqAcademy الله يبارك فيك تستاهل الطيب

@Fm0101 @TuwaiqAcademy مبروك فهد تستاهل 👏🎉

بعد توفيق الله لقد اجتزت اختبار security+ والحصول على الشهادة الشكر لله ثم لااكاديمية طويق لااتاحة الفرصة للتدرب لديهم @TuwaiqAcademy

@aa_8989 الف مبروك ابو نورة تستاهل 👏🏻👏🏻

الحمدلله حصلت على المركز الثالث في مسابقة كأس مكافآت الثغرات ضمن فعاليات بلاك هات 2025

@Saeed_sm_zh ماشاء الله تبارك الله تستاهلون ياسعيد

اللهم لك الحمد حتى ترضى 🌹 بفضل الله، حقق فريقنا هبوب بلاتينيوم المركز الأول للسنة الثالثة على التوالي 🎉🎉🇸🇦🇸🇦🇸🇦 بلاتينيوم العز 🫡🫡🫡

@Omarzzu @SAFCSP @BugBountySA الف مبروك ابو ابراهيم 👏🏻👏🏻

الحمد لله، فخور بتحقيقي المركز الأول كأفضل باحث سعودي في مسابقة مكافآت الثغرات ضمن فعاليات Black Hat 2025. شكرًا للاتحاد السعودي للأمن السيبراني، وشكرًا لمنصة اكتشاف الثغرات على دعمهم الدائم للكوادر الوطنية.🇸🇦 القادم أقوى بإذن الله #BHMEA2025

مفارقه عجيبه بناءاً على تجربتي : مقارنة بسيطه بين شهادة CAPenX من @TheSecOpsGroup وشهادة OSWA من @offsectraining OSWA: -سيناريوهات سهله والاستغلال بدون فلتره او صعوبه . -دفعت عليها 1600 دولار تقريبا 💀. CAPenX: -سيناريوهات صعبه واستغلالات متقدمة ، تحتاج تجرب اكثر واكثر . -السعر بعد الخصم 100 دولار تقريبا 😅 الخلاصه : OffSec تستغل اسمها في الاسعار المبالغ فيها 😁

#تعال_معنا في #توكلنا التطبيق الوطني الشامل 🇸🇦

@3bdullaM9 @offsectraining الف مبروك ابو عابد 👏🏻👏🏻❤️

الحمدلله ❤️، أخيراً جبنا شهادة من @offsectraining 😄, بفضل الله حصلت على شهادة OSWA الخاصة بإختبار إختراق تطبيقات الويب من OffSec Thanks @offsectraining

ستة أعوام.. أثرٌ حاضر في خدماتنا متجدد في منصاتنا ممتد في جوائزنا ومؤشراتنا، متواصل بعطائنا لحظة قراءة تغريدتنا. #أثر_وفخر #سدايا

@Mkq251 @BugBountySA الف مبروك والله يوفقك

أول ثغرة ألقاها من منصة BugBounty.sa، والله ما تتخيلون قد ايش فخور بنفسي! ❤️ هذه بداية المشوار، والجايات أكثر وأقوى بإذن الله 🇸🇦

@AliAlsahad للامانه المبلغ جدا مبالغ فيه تقدر تتاسس بااقل من كذا

ودي انكم تعطوني رايكم على معهد اباد حجزت كرسي في معسكر المسار التأسيسي للأمن السيبراني اتمنى تعطوني نصايح او معلومات عن المعهد + كلمت الدعم الفني قالو لي بيعطوني اختبار لشهادة eJPT مجاني

@0xTr3x @hackthebox_eu الف مبروك عبدالعزيز 👏🏻👏🏻

الحمد لله، حصلت على شهادة Certified Bug Bounty Hunter (CBBH) من @hackthebox_eu #CBBH #bugbounty #Pentesting

@3zizMe_ الف الف مبروك مستحقه يابو نايف

الحمد لله، اليوم حققت المركز الأول في مسابقة كأس مكافآت الثغرات ضمن فعاليات مؤتمر بلاك هات 2024 بفارق 300 نقطة! 🥇 شكرًا للاتحاد السعودي للأمن السيبراني وشكرًا لمنصة مكافآت الثغرات على هذا الدعم. القادم أجمل بإذن الله! #BHMEA24

@18a الف الف الف مبروك مستحقه وبجدارة 🔥❤️

الحمد لله، فريقنا “Platinum” وللعام الثاني على التوالي قد حقق جائزة #أفضل_فريق_سعودي 🇸🇦 في أكبر مسابقة التقاط العلم ضمن فعاليات مؤتمر #بلاك_هات24. كل الشكر والتقدير للاتحاد السعودي للأمن السيبراني ولشركة #هبوب على دعمهم المتواصل 🤍. #BHMEA24