السلام عليكم متابعين قناة ومدونة Shadow Hacker كالعادة راجعلكم اليوم بمقال من أقوى المقالات اللي كتبتها — وهو كيف تلاقي ثغرات حصرية على فيسبوك وانستقرام باستخدام Burp Suite وتاخذ عليها مكافآت مالية من برنامج Meta Bug Bounty. بصراحة، هاد الموضوع طلبه مني كتير ناس وأخيراً قررت أكتب عنه دليل شامل بالعربي مش مجرد نظري، لا، رح أحكيلك من تجربتي الشخصية وتجارب باحثين أعرفهم شو الطرق اللي فعلاً بتنجح وشو اللي مضيعة وقت.
كيف تلاقي ثغرات فيسبوك وانستقرام عبر Burp Suite 2026
خليني أحكيلك إشي مهم من البداية — Meta (الشركة الأم لفيسبوك وانستقرام وواتساب وMessenger وThreads) عندها واحد من أقدم وأكبر برامج Bug Bounty بالعالم. البرنامج بدأ من 2011 ولحد هسا دفعوا أكتر من $25 مليون دولار لأكتر من 1,400 باحث أمني من 88 دولة. بس بـ 2025 لحالها دفعوا $4 مليون دولار على 800 تقرير من أصل 13,000 تقرير استلموه. المكافآت بتبدأ من $500 وبتوصل لـ $300,000 لثغرات Mobile RCE بدون تفاعل المستخدم. يعني هاد مش مجرد هواية — هاد ممكن يصير مصدر دخل حقيقي إذا عرفت تشتغل صح. الباحث Youssef Sammouda من تونس لحاله بيقبض بين $400,000 - $900,000 سنوياً من Meta و Google!
بس المشكلة إن كتير ناس بتبدأ تفحص فيسبوك أو انستقرام وبتضل تضرب برأسها بالحيط لأشهر بدون ما تلاقي إشي. السبب؟ لأنهم ما بيعرفوا وين يدوروا وكيف يدوروا. فيسبوك مش موقع عادي — هاد منصة عملاقة فيها ملايين الـ endpoints ونظام GraphQL معقد ودفاعات أمنية قوية. عشان هيك لازم يكون عندك منهجية واضحة وأدوات صح — وأقوى أداة للشغل هاد هي Burp Suite.
إذا بتحب تستخدم AI بالهاكينغ، شوف مقالنا عن أقوى برومبتات ChatGPT و Kimi Code للهاكينغ. يلا نبدأ
برنامج Meta Bug Bounty — كل اللي لازم تعرفه قبل ما تبدأ
قبل ما تفتح Burp Suite وتبدأ تفحص، لازم تفهم قواعد اللعبة. Meta عندها سياسات واضحة ومحددة، وإذا خالفتها ممكن حسابك يتبلك أو حتى تتعرض لمساءلة قانونية. فخليني أشرحلك كل إشي.
النطاق (Scope) — شو مسموح وشو ممنوع
برنامج Meta Bug Bounty بيشمل كل المنتجات التالية:
| المنتج | النطاقات (Domains) | ملاحظات |
|---|---|---|
| facebook.com, *.facebook.com, fbcdn.net | النطاق الرئيسي — أكبر سطح هجوم | |
| instagram.com, *.instagram.com, cdninstagram.com | API غنية بثغرات IDOR | |
| whatsapp.com, web.whatsapp.com, *.whatsapp.net | Web و API | |
| Messenger | messenger.com, *.messenger.com | ثغرات المحادثات والوسائط |
| Threads | threads.net, *.threads.net | جديد — سطح هجوم غير مستكشف |
| Meta Quest / Horizon | oculus.com, meta.com | VR و Metaverse |
| Meta AI | meta.ai, ai.facebook.com | جديد 2025-2026 — ثغرات AI |
جدول المكافآت — كم رح تقبض؟
| درجة الخطورة | أمثلة | المكافأة التقريبية |
|---|---|---|
| منخفضة (Low) | Information Disclosure بسيط، Open Redirect، Page Admin Disclosure | $500 - $5,000 |
| متوسطة (Medium) | Stored XSS، Contact Point Deanonymization، CSRF | $5,000 - $20,000 |
| عالية (High) | 2FA Bypass ($20K)، SSRF ($40K)، Business/Page Takeover ($50K) | $20,000 - $50,000 |
| حرجة (Critical) | Account Takeover ($130K)، Mobile RCE 0-click ($300K) | $50,000 - $300,000 |
بصراحة، أغلب الثغرات اللي الباحثين بيلاقوها على Meta بتكون بنطاق $5,000 - $30,000. الثغرات فوق $50,000 أقل بس موجودة — خاصة لو لقيت ثغرة Account Takeover بدون تفاعل المستخدم أو Remote Code Execution. كمان Meta عندها برنامج Hacker Plus بيعطيك بونص يوصل لـ 30% فوق المكافأة الأساسية إذا كنت من الباحثين المتميزين.
💡 جديد 2025-2026: Meta وسّعت النطاق ليشمل WhatsApp Private Processing (TEEs والتشفير) مع مكافآت تصل لـ $300K، وأنشأت WhatsApp Research Proxy لتحليل بروتوكول واتساب. كمان أضافوا Meta GenAI كنطاق جديد بإرشادات مكافآت خاصة لثغرات AI/LLM. وبـ 2024 عقدوا MBBRC في جوهانسبرغ (60 باحث، $320,000+ مكافآت)، وبـ 2025 بطوكيو.
إعداد Burp Suite الكامل لاختبار Meta — خطوة بخطوة
هسا بعد ما فهمت القواعد والمكافآت، خليني أجهزلك Burp Suite بالطريقة الصح لاختبار فيسبوك وانستقرام. الإعداد الصح بيوفر عليك ساعات من المشاكل.
الخطوة 1 — تحميل وتثبيت Burp Suite
حمّل Burp Suite من الموقع الرسمي. بتقدر تستخدم Community Edition (مجاني) أو Professional ($449/سنة). الفرق الرئيسي:
| الميزة | Community (مجاني) | Professional ($449/سنة) |
|---|---|---|
| Proxy + Repeater | ✅ كامل | ✅ كامل |
| Intruder | ⚠️ بطيء (rate limited) | ✅ بدون قيود |
| Scanner التلقائي | ❌ | ✅ كامل |
| Extensions | ✅ محدود | ✅ كامل |
| حفظ المشروع | ❌ | ✅ |
الخطوة 2 — إعداد الـ Proxy وشهادة SSL
# 1. افتح Burp Suite → Proxy → Options # تأكد إن Listener شغال على 127.0.0.1:8080 # 2. إعداد المتصفح (Firefox الأفضل): # Settings → Network Settings → Manual Proxy # HTTP Proxy: 127.0.0.1 Port: 8080 # ✅ Also use this proxy for HTTPS # 3. تثبيت شهادة SSL: # افتح http://burpsuite بالمتصفح # حمّل CA Certificate # Firefox → Settings → Privacy → Certificates → Import # ✅ Trust this CA to identify websites # 4. أو استخدم FoxyProxy extension (أسهل): # ثبّت FoxyProxy من Firefox Add-ons # أضف proxy: 127.0.0.1:8080 # فعّله/عطّله بضغطة زر
الخطوة 3 — تصفية الترافيك (Scope)
فيسبوك بيولّد كمية ترافيك هائلة — إذا ما صفّيت الـ scope، Burp رح ينفجر عندك. هاي الإعدادات الضرورية:
# Burp → Target → Scope → Add: # Facebook: .*\.facebook\.com$ .*\.fbcdn\.net$ .*\.fb\.com$ # Instagram: .*\.instagram\.com$ .*\.cdninstagram\.com$ # Threads: .*\.threads\.net$ # Meta: .*\.meta\.com$ # بعدها: # Proxy → Options → Intercept Client Requests # ✅ "And URL is in target scope" # هيك بس الطلبات اللي على Meta رح تنعرض
الخطوة 4 — إنشاء حسابات اختبار
هاي خطوة مهمة جداً — ما تفحص على حسابك الحقيقي أبداً. أنشئ حسابات مخصصة للاختبار:
- حسابين فيسبوك: واحد "Attacker" وواحد "Victim" — عشان تختبر IDOR بينهم
- حسابين انستقرام: واحد عام وواحد خاص — لاختبار صلاحيات الوصول
- صفحة فيسبوك + مجموعة: لاختبار ثغرات إدارة الصفحات
- حساب Business Manager: لاختبار Facebook Ads و Commerce
نصيحة من تجربتي: سمّي الحسابات بأسماء واضحة زي "BugBounty Test Account 1" عشان إذا Meta شافوا النشاط يعرفوا إنك باحث أمني. وحط بالـ Bio "Security Researcher — Bug Bounty Testing".
فهم بنية فيسبوك وانستقرام التقنية — سطح الهجوم
قبل ما تبدأ تفحص، لازم تفهم كيف فيسبوك وانستقرام مبنيين من الناحية التقنية. هاد بيساعدك تركز جهودك على الأماكن الصح.
GraphQL — القلب النابض لـ Meta
هاد أهم إشي لازم تفهمه — كل شي على فيسبوك وانستقرام بيمر عبر GraphQL. بخلاف المواقع العادية اللي بتستخدم REST API مع endpoints مختلفة لكل عملية، Meta بتستخدم GraphQL endpoint واحد بيستقبل كل الطلبات. هاد بيخلي الاختبار مختلف تماماً عن المواقع العادية.
# Facebook GraphQL Endpoint:
POST https://www.facebook.com/api/graphql/
# Instagram GraphQL Endpoint:
POST https://www.instagram.com/graphql/query/
# الطلب بيكون عادةً بهالشكل:
POST /api/graphql/ HTTP/2
Host: www.facebook.com
Content-Type: application/x-www-form-urlencoded
fb_api_req_friendly_name=CometMarketplaceSearchContentContainerQuery
&variables={"buyLocation":{"latitude":0,"longitude":0},"count":24}
&doc_id=7693946483948291
شايف doc_id؟ هاد رقم فريد لكل GraphQL query. Meta عندها آلاف الـ doc_ids المختلفة — كل واحد بيعمل عملية مختلفة. جزء كبير من شغل Bug Bounty هو اكتشاف doc_ids جديدة واختبارها.
أهم الـ Endpoints اللي لازم تراقبها
| الـ Endpoint | الوظيفة | نوع الثغرات المحتملة |
|---|---|---|
/api/graphql/ | كل عمليات GraphQL | IDOR, Authorization Bypass |
/ajax/ | طلبات AJAX القديمة | CSRF, Logic Bugs |
/v18.0/ | Graph API العامة | Token Leaks, Scope Bypass |
/login/ | صفحة الدخول | Brute Force, Credential Stuffing |
/recover/ | استعادة الحساب | Account Takeover, Rate Limiting |
/settings/ | إعدادات الحساب | Privacy Bypass, IDOR |
/marketplace/ | Facebook Marketplace | Logic Bugs, Price Manipulation |
/stories/ | القصص | Privacy Bypass, View Count IDOR |
ثغرات IDOR على فيسبوك وانستقرام — أكتر نوع بيتم اكتشافه
IDOR (Insecure Direct Object References) من أكتر أنواع الثغرات اللي بيتم اكتشافها على منصات Meta. الفكرة بسيطة: بتعمل عملية على حسابك (مثلاً تشوف صورة خاصة)، بعدها بتغير الـ ID بالطلب لـ ID حساب ثاني — ولو المنصة ما فحصت الصلاحيات، بتقدر تشوف أو تعدل بيانات حساب مش إلك.
الطريقة العملية — خطوة بخطوة
خليني أشرحلك المنهجية بالظبط:
الخطوة 1: سجّل دخول بحسابك "Attacker" وابدأ تستخدم الميزة اللي بدك تفحصها — مثلاً شوف قائمة أصدقائك، أو افتح ألبوم صور خاص.
الخطوة 2: بـ Burp Suite Proxy، راقب الطلبات واللي بتمر. دوّر على الطلب اللي فيه User ID أو Object ID:
# مثال — طلب GraphQL لجلب ألبوم صور:
POST /api/graphql/ HTTP/2
Host: www.facebook.com
Cookie: [YOUR_SESSION_COOKIES]
fb_api_req_friendly_name=PhotoAlbumContentQuery
&variables={"albumID":"10234567890123456","first":12}
&doc_id=8834562917384921
# ↑ شايف albumID؟ هاد هو الـ Object ID اللي بنغيره
الخطوة 3: أرسل الطلب للـ Repeater (Ctrl+R) وغيّر الـ albumID لـ ID ألبوم خاص لحساب "Victim" تبعك:
# غيّر الـ albumID:
&variables={"albumID":"10298765432109876","first":12}
# إذا الرد رجعلك الصور الخاصة للحساب الثاني → IDOR!
# إذا رجعلك Error أو Access Denied → محمي
الخطوة 4: إذا لقيت IDOR — وثّق كل إشي: الطلب الأصلي، الطلب المعدل، الرد اللي بيثبت إنك وصلت لبيانات مش إلك.
أماكن ذهبية للبحث عن IDOR على Meta
- Facebook Groups: تغيير group_id لمجموعات خاصة — شوف الأعضاء أو المنشورات
- Instagram Stories: تغيير user_id لمشاهدة ستوريز حسابات خاصة
- Facebook Marketplace: تغيير listing_id للوصول لقوائم محذوفة أو مخفية
- Reactions/Likes: شوف مين عمل Like على منشور خاص
- Reels Drafts: محاولة الوصول لمسودات Reels لحسابات أخرى
- Business Manager: تغيير business_id للوصول لبيانات أعمال أخرى
- Comments: حذف أو تعديل تعليقات حسابات تانية
- Threads: لأنه جديد، فيه احتمال عالي لثغرات IDOR
💡 حيلة مهمة — Autorize Extension: ثبّت إضافة Autorize على Burp Suite — بتعمل اختبار IDOR تلقائي! بتحط cookies حسابين مختلفين وبتراقب كل طلب: إذا الحساب الثاني قدر يوصل لنفس البيانات → ثغرة IDOR تلقائية. هاي من أقوى الإضافات لاختبار Meta.
GraphQL Hacking على فيسبوك — تقنيات متقدمة حصرية
هسا بنيجي لأقوى جزء بالمقال — كيف تهاجم GraphQL على فيسبوك وانستقرام. هاد الجزء اللي بيفرق بين الباحث المبتدئ والمحترف.
فهم بنية الطلبات
كل طلب GraphQL على Meta بيتكون من 3 أجزاء رئيسية:
# 1. fb_api_req_friendly_name — اسم العملية (وصفي)
fb_api_req_friendly_name=CometFeedStoryQuery
# 2. variables — المتغيرات (JSON)
variables={"storyID":"12345","scale":1.5}
# 3. doc_id — معرف الاستعلام الفريد
doc_id=7693946483948291
# بعض الطلبات بتستخدم بدل doc_id:
# query_hash= (على Instagram)
# أو query نص كامل (نادر على production)
تقنية اكتشاف doc_ids المخفية
Meta عندها آلاف الـ GraphQL queries — بعضها داخلي ومش مستخدم بالواجهة العامة بس لسا شغال. هاي بتكون فرصة ذهبية:
# الطريقة 1 — استخراج من JavaScript bundles:
# افتح Facebook بالمتصفح
# DevTools → Sources → ابحث عن:
# "doc_id" أو "__d(" أو "queryID"
# رح تلاقي عشرات الـ doc_ids بملفات JavaScript
# الطريقة 2 — Burp Suite Logger++:
# ثبّت Logger++ extension
# فلتر: response contains "doc_id" OR "query_hash"
# استخدم كل ميزات Facebook/Instagram
# وسجّل كل الـ doc_ids اللي بتمر
# الطريقة 3 — GraphQL Raider extension:
# ثبّت GraphQL Raider على Burp
# بيحلل طلبات GraphQL تلقائياً
# بيعرضلك الـ queries والـ variables بشكل مرتب
هجمات GraphQL الشائعة على Meta
1. Batch Query Attack: GraphQL بيسمحلك ترسل عدة استعلامات بطلب واحد — هاد بيتجاوز Rate Limiting:
# بدل ما ترسل 1000 طلب منفصل:
# أرسل طلب واحد فيه 1000 query!
# Burp Repeater — أرسل:
batch=[
{"method":"GET","relative_url":"v18.0/USER_ID_1?fields=email"},
{"method":"GET","relative_url":"v18.0/USER_ID_2?fields=email"},
{"method":"GET","relative_url":"v18.0/USER_ID_3?fields=email"}
# ... وهيك لحد 50 طلب بالـ batch الواحد
]
2. Field Suggestion / Introspection: حاول تكتشف حقول مخفية:
# حاول إضافة حقول ما لازم تشوفها:
variables={"userID":"TARGET_ID","fields":"email,phone,address,ssn"}
# جرّب أسماء حقول مختلفة:
# private_email, phone_number, recovery_email
# admin_notes, internal_id, debug_info
# ip_address, session_tokens, login_history
# استخدم Param Miner extension لأتمتة هاد:
3. Mutation Abuse: بعض الـ mutations (عمليات الكتابة) ممكن ما تكون محمية صح:
# مثال — محاولة تعديل بيانات حساب آخر:
# لاحظ mutation لتعديل bio أو اسم:
fb_api_req_friendly_name=ProfileUpdateMutation
variables={"userID":"YOUR_ID","bio":"New bio text"}
# غيّر الـ userID لحساب آخر:
variables={"userID":"VICTIM_ID","bio":"Hacked by test"}
# إذا نجحت → ثغرة خطيرة (Authorization Bypass)ثغرات تخطي Email Validation على Meta — قسم حصري 🔥
هاد قسم حصري من Shadow Hacker — Email Validation Bypass من أكتر الثغرات اللي الباحثين بيغفلوا عنها بس Meta بتدفع عليها مبالغ ممتازة. لما Meta بتتحقق من صيغة الإيميل أو ترفض إيميل معين بالتسجيل أو تغيير البريد — في كتير طرق لاختبار إذا هاي الحماية فعلاً قوية أو فيها ثغرة.
نوع 1: Client-Side Validation Bypass (الأسهل)
لما تشوف رسالة زي "That email doesn't look right" — هاي غالباً client-side validation بالـ JavaScript. يعني المتصفح بيرفض الطلب قبل ما يوصل للسيرفر. وهاي أسهل إشي تتخطاه بـ Burp Suite:
# الطريقة 1 — اعترض الطلب بـ Burp وعدّل بعد ما يطلع من المتصفح: # 1. اكتب أي إيميل صحيح بالفورم (مثلاً test@gmail.com) # 2. اضغط Next/Submit # 3. اعترض الطلب بـ Burp Proxy (Intercept ON) # 4. غيّر الإيميل بالطلب المعترض: # من: email=test%40gmail.com # إلى (أمثلة للاختبار): email=test%40gmail.com%00 # Null byte email=test%40gmail.com%20 # Trailing space email=%20test%40gmail.com # Leading space email=test%2B123%40gmail.com # Plus addressing (test+123@gmail) email=test%40googlemail.com # Gmail alias domain email=TEST%40GMAIL.COM # Case manipulation # 5. أرسل الطلب (Forward) وشوف رد السيرفر # الطريقة 2 — عطّل JavaScript بالمتصفح: # DevTools → Settings → Debugger → Disable JavaScript # أو استخدم Burp Match & Replace: # Proxy → Options → Match and Replace # Match: pattern="[^@]+@[^@]+" Replace: (empty) # هيك بتشيل الـ regex validation من الصفحة
نوع 2: Server-Side Email Verification Bypass (الأقوى)
لما تشوف "لا يمكنك التحقق من صحة عنوان البريد الإلكتروني هذا" — هاي server-side validation. السيرفر بيتحقق إن الإيميل حقيقي أو بيرفضه. هون الاختبار أعمق:
# === تقنيات اختبار Server-Side Email Validation ===
# 1. Parameter Pollution (إضافة نفس الـ parameter أكتر من مرة):
email=blocked@test.com&email=your_real@gmail.com
# أحياناً السيرفر بيقرأ القيمة الأولى أو الثانية بشكل مختلف
# 2. JSON Injection (إذا الطلب JSON):
{"email": "your@gmail.com", "email": "bypass@gmail.com"}
# بعض الـ parsers بتاخذ القيمة الأخيرة
# 3. Array Parameter:
email[]=blocked@test.com&email[]=valid@gmail.com
# أو بـ JSON: {"email": ["valid@gmail.com"]}
# 4. Unicode Normalization:
email=test@ɡmail.com # ɡ (Latin Small Letter Script G, U+0261)
email=test@gmaiⅼ.com # ⅼ (Small Roman Numeral Fifty, U+217C)
# السيرفر ممكن ينورملز Unicode بطريقة مختلفة عن الـ validator
# 5. Encoding Tricks:
email=test%00@gmail.com # Null byte بالمنتصف
email=test@gmail.com%0a # Newline
email=test@gmail.com%0d%0a # CRLF
email="test"@gmail.com # Quoted local part (RFC 5321 valid!)
email=test@[127.0.0.1] # IP literal (RFC valid)
# 6. Case & Dot Tricks (خاص بـ Gmail):
# Gmail بيتجاهل النقاط: t.e.s.t@gmail.com = test@gmail.com
# بس هل Meta بتتعامل معهم كنفس الإيميل؟
email=t.e.s.t@gmail.com
email=TEST@gmail.com
email=test@Gmail.com
# 7. Plus Addressing Bypass:
# Gmail بيدعم: test+anything@gmail.com
email=test%2Bbugbounty%40gmail.com
# هل Meta بتعتبره نفس الحساب أو حساب جديد؟
نوع 3: Race Condition على Email Change
هاي تقنية متقدمة — لما تغير الإيميل على حسابك، في فترة قصيرة بين التحقق والتطبيق. إذا أرسلت طلبات متعددة بنفس اللحظة:
# استخدم Turbo Intruder لإرسال طلبات متزامنة:
# 1. التقط طلب تغيير الإيميل بـ Burp
# 2. أرسله لـ Turbo Intruder
# 3. Turbo Intruder script:
def queueRequests(target, wordlists):
engine = RequestEngine(endpoint=target.endpoint,
concurrentConnections=20,
requestsPerConnection=1,
pipeline=False)
# أرسل 20 طلب تغيير إيميل بنفس اللحظة
for i in range(20):
engine.queue(target.req,
str(i),
gate='race')
engine.openGate('race')
def handleResponse(req, interesting):
if '200' in req.response or 'success' in req.response:
table.add(req)
# إذا واحد من الطلبات نجح والباقي فشلوا → Race Condition!
نوع 4: GraphQL Email Mutation Bypass
بما إن فيسبوك بيستخدم GraphQL لكل العمليات، ممكن تحاول تغير الإيميل عبر mutation مختلفة عن اللي الواجهة بتستخدمها:
# 1. التقط الطلب العادي لتغيير الإيميل عبر الإعدادات
# 2. لاحظ الـ doc_id والـ mutation name
# 3. ابحث بـ JavaScript bundles عن mutations بديلة:
# DevTools → Sources → Search: "email" + "mutation"
# أو: "updateContactPoint" أو "addEmail" أو "changeEmail"
# قد تجد mutation بديلة بفحص أقل:
# مثلاً: Workplace email update vs Personal email update
# أو: Mobile API mutation vs Web mutation
# أو: Legacy endpoint vs New endpoint
# 4. جرّب الـ mutation القديمة أو البديلة:
POST /api/graphql/
fb_api_req_friendly_name=AlternateMutationName
&variables={"input":{"email":"new@gmail.com","client_mutation_id":"1"}}
&doc_id=DISCOVERED_DOC_ID
# إذا الـ mutation البديلة ما عندها نفس التحقق → ثغرة!
نوع 5: Endpoint Version Bypass
# Meta عندها عدة إصدارات من الـ API # الحماية ممكن تكون على إصدار بس مش على تاني: # جرّب نفس العملية على إصدارات مختلفة: POST /v18.0/me/email → محمي (بيرفض) POST /v17.0/me/email → ممكن يقبل! POST /v15.0/me/email → ممكن يقبل! # أو جرّب على domains مختلفة: # www.facebook.com → محمي # m.facebook.com → ممكن فحص مختلف # mbasic.facebook.com → ممكن فحص مختلف! # touch.facebook.com → ممكن فحص مختلف # beta.facebook.com → فحص أضعف تاريخياً! # ★ باحث سابق اكتشف إن beta.facebook.com و mbasic.beta.facebook.com # ما كان عندهم Rate Limiting على password reset — وأخذ $15,000!
⚡ خلاصة Email Bypass: أهم إشي تتذكره — ما تختبر بس من الواجهة. الواجهة (frontend) بتعرضلك رسالة خطأ، بس الحماية الحقيقية بالـ backend. Burp Suite بيخليك تتخطى الواجهة وتحكي مباشرة مع السيرفر. كل الأمثلة فوق لازم تُختبر على حساباتك الخاصة — وإذا لقيت أي ثغرة بلّغ Meta فوراً عشان تاخذ مكافأتك.
هجمات Authentication و Session على Meta — Account Takeover
ثغرات Account Takeover من أخطر الثغرات وأعلاها مكافأة. إذا لقيت طريقة تسيطر على حساب مستخدم بدون ما يعرف — هاد ممكن يوصل لمكافأة $30,000 - $100,000+.
نقاط الاختبار الرئيسية
1. Password Reset Flow:
# اختبر نظام استعادة كلمة المرور: # A. Rate Limiting على OTP: # ابدأ عملية استعادة كلمة المرور # التقط طلب إرسال الـ OTP بـ Burp # أرسله للـ Intruder # جرّب كل الأرقام من 000000 لـ 999999 # إذا ما في rate limit → brute force OTP! # B. Token Reuse: # اطلب رابط إعادة تعيين # استخدمه # جرّب تستخدمه مرة ثانية → لازم يرفض # جرّب بعد ما تغير كلمة المرور → لازم يرفض # C. Race Condition: # أرسل 10 طلبات OTP بنفس الوقت # أحياناً بيعطيك أكتر من OTP شغال # أو بيصير خطأ بالتحقق
2. OAuth Token Testing:
# Facebook Login بيستخدم OAuth 2.0 # اعترض عملية تسجيل الدخول عبر Facebook على تطبيق خارجي: # التقط الـ redirect_uri: GET /v18.0/dialog/oauth? client_id=APP_ID& redirect_uri=https://app.com/callback& scope=email,public_profile& response_type=code # اختبارات: # 1. غيّر redirect_uri لموقعك → Token Stealing # 2. أضف scope إضافي (manage_pages, ads_management) # 3. غيّر response_type من "code" لـ "token" → Implicit Flow # 4. حاول استخدام Access Token من تطبيق على تطبيق ثاني
3. Session Management:
# اختبر الـ session tokens: # A. بعد تغيير كلمة المرور — لازم كل الجلسات القديمة تنتهي # B. بعد تسجيل الخروج — لازم الـ token يصير غير صالح # C. بعد تفعيل 2FA — لازم يطلب تأكيد من الجلسات القديمة # فحص الـ cookies: # c_user — رقم المستخدم # xs — الـ session token الرئيسي # fr — cookie التتبع # datr — cookie الجهاز # جرّب: # أخذ xs من session قديمة واستخدمها # تغيير c_user مع نفس xs # نسخ cookies لمتصفح آخر
ثغرات Business Logic — اللي ما بيلاقيها Scanner
ثغرات Business Logic من أذكى أنواع الثغرات — لأنها ما بتتعلق بخطأ تقني بالكود، بل بخطأ بمنطق التطبيق نفسه. الـ Scanner ما بيقدر يلاقيها — لازم إنسان يفكر فيها. وعلى Meta، هاي الثغرات شائعة جداً بسبب تعقيد المنصة.
أمثلة على ثغرات Business Logic على Meta
1. تجاوز حظر (Block Bypass):
- إذا حظرت حدا على فيسبوك — هل بيقدر يشوف منشوراتك عبر API؟
- هل بيقدر يرسلك رسالة عبر Messenger إذا حذفت المحادثة؟
- هل بيقدر يشوف ستوريزك عبر حساب تاني؟
2. Privacy Bypass:
- منشور مخفي عن شخص معين — هل بيقدر يشوفه من API؟
- حساب انستقرام خاص — هل بيقدر يشوف عدد المتابعين الحقيقي؟
- Stories مخصصة لقائمة "Close Friends" — هل في تسريب عبر GraphQL؟
3. Rate Limiting Bypass:
# تقنيات تجاوز Rate Limiting على Meta: # 1. Header Manipulation: # أضف X-Forwarded-For: RANDOM_IP # أضف X-Real-IP: RANDOM_IP # غيّر User-Agent كل طلب # 2. Parameter Pollution: # أضف spaces أو null bytes للـ parameter # email=target@gmail.com → email=target@gmail.com%00 # أو email=target@gmail.com (مع space) # 3. Endpoint Variation: # /recover/password/ vs /recover/password # /api/v18.0/ vs /api/v17.0/ vs /api/v19.0/ # 4. GraphQL Batching: # بدل 100 طلب → batch واحد فيه 100 query
4. Feature Abuse على Instagram:
- Reels Download: هل بتقدر تحمل Reels حتى لو المستخدم مانع التحميل؟
- Vanish Mode Bypass: هل الرسائل المختفية فعلاً بتنحذف من السيرفر؟
- Screenshot Detection Bypass: هل بتقدر تاخذ screenshot بدون ما يعرف الطرف الثاني؟
- Message Request Bypass: هل بتقدر ترسل رسائل مباشرة بدون ما تروح لـ Message Requests؟
ثغرات حقيقية اكتُشفت على Meta — أمثلة موثقة بمكافآت ضخمة
خليني أحكيلك عن ثغرات حقيقية وموثقة اكتشفها باحثون أمنيون معروفون — عشان تفهم شو نوع الثغرات اللي Meta بتدفع عليها وكيف انلقت.
1. Youssef Sammouda — سلسلة Account Takeover بـ $312,500
الباحث التونسي Youssef Sammouda (sam0) — #1 على برنامج Meta Bug Bounty لسنوات 2019-2021 — اكتشف ثغرة XSS في نظام Facebook Conversions API Gateway تحولت لـ 0-Click Account Takeover. الباحث ربط عدة ثغرات مع بعض (XSS + Token Theft + Session Hijacking) وقدر يسيطر على أي حساب فيسبوك بدون أي تفاعل من الضحية. Meta دفعتله $312,500 — من أعلى المكافآت بتاريخ البرنامج. نفس الباحث عنده مكافآت تانية: $126,000 لسلسلة Facebook Canvas ATO، و$44,625 لثغرة Gmail OAuth اللي كانت بتسمح بسرقة حسابات فيسبوك للمستخدمين اللي سجلوا عبر Gmail.
2. Ben Sadeghipour (NahamSec) — Facebook Server RCE بـ $100,000
بأكتوبر 2024، الباحث Ben Sadeghipour المعروف بـ NahamSec اكتشف إن خادم إعلانات فيسبوك كان بيشغل نسخة Headless Chrome غير محدثة. الباحث قدر يستغل ثغرة بالمتصفح وينفذ أوامر على خادم Meta الداخلي — يعني Remote Code Execution على infrastructure الإنتاج! Meta صلحت الثغرة خلال ساعة واحدة ودفعت $100,000.
3. Dmitry Lukyanenko — RCE في Facebook Messenger بـ $111,750
بسبتمبر 2025، الباحث Dmitry Lukyanenko اكتشف ثغرة Remote Code Execution في Facebook Messenger. التفاصيل التقنية ما زالت مقيدة، بس المكافأة كانت $111,750 — مما يدل على خطورة الثغرة وتأثيرها على ملايين المستخدمين.
4. Amol Baikar — OAuth Framework ATO بـ $55,000
الباحث الهندي Amol Baikar اكتشف ثغرة بنظام Facebook OAuth 2.0 — كان في X-Frame-Options header مفقود مع مشكلة بـ window.parent cross-domain communication. النتيجة: بيقدر يسرق Access Tokens لكل التطبيقات — فيسبوك، انستقرام، Oculus، وحتى تطبيقات خارجية زي Netflix و Spotify و Tinder. الأخطر إن التوكنات كانت non-expirable وبتضل شغالة حتى بعد تغيير كلمة المرور! المكافأة: $55,000.
5. Gtm Manoz — 2FA Bypass بـ $27,000
الباحث Gtm Manoz اكتشف إن endpoint تأكيد رقم الهاتف بـ Meta Accounts Center ما كان عنده Rate Limiting! يعني بيقدر يعمل brute force على OTP المكون من 6 أرقام (مليون احتمال) ويربط رقم هاتف الضحية بحسابه — وبالتالي يتجاوز Two-Factor Authentication على فيسبوك وانستقرام مع بعض. المكافأة: $27,000.
6. Jatin Banga — Instagram Private Data Disclosure (2025)
الباحث Jatin Banga اكتشف ثغرة بسيطة بس خطيرة على انستقرام — بمجرد إرسال GET request مع mobile user-agent header لعنوان URL حساب خاص، السيرفر كان بيرجع JSON بيانات الصور الخاصة والـ captions بدون ما يتحقق من الصلاحيات. يعني أي حد بيقدر يشوف صور الحسابات الخاصة! Meta صلحتها بأكتوبر 2025.
7. Philippe Harewood — 500+ تقرير مقبول على Meta
الباحث Philippe Harewood من ترينيداد وتوباغو وصل لـ 500+ تقرير مقبول ومدفوع من Meta خلال 10 سنوات — وبيقبض ما يعادل راتب مهندس فيسبوك. من أبحاثه: تسريب Access Tokens على انستقرام وتجاوز حد تسجيل الفيديو على Ray-Ban Stories.
المغزى: لاحظ إن أغلب الثغرات مش معقدة تقنياً — IDOR، Rate Limiting مفقود، OAuth misconfiguration، Missing Headers. المفتاح هو المنهجية والصبر والتركيز على سلسلة الثغرات (chaining) والميزات الجديدة. Bassem M Bazzoun أخذ $25,300 لتجاوز 2FA، وSancyty أخذ $5,375 لـ IDOR بسيط على Facebook Campaign Planner.
إضافات Burp Suite المتقدمة لاختبار Meta — الأدوات اللي بتفرق
Burp Suite لحاله قوي، بس مع الإضافات الصح بيتحول لوحش. هاي أهم الإضافات اللي بستخدمها شخصياً لاختبار منصات Meta:
| الإضافة | الوظيفة | ليش مهمة لـ Meta |
|---|---|---|
| Autorize | اختبار IDOR/Authorization تلقائي | أفضل إضافة لاختبار صلاحيات GraphQL — بتقارن بين حسابين تلقائياً |
| Logger++ | تسجيل متقدم للطلبات | بتسجل كل doc_ids و GraphQL queries — بتقدر تبحث وتصفي |
| GraphQL Raider | تحليل طلبات GraphQL | بيحلل الـ queries ويعرض الـ variables بشكل مرتب — أساسي لـ Meta |
| Param Miner | اكتشاف parameters مخفية | بيلاقيلك parameters مخفية بالطلبات — مفيد لـ hidden fields |
| Turbo Intruder | Intruder سريع جداً (Python) | أسرع بكتير من Intruder العادي — مهم لـ Race Conditions |
| JSON Beautifier | تنسيق JSON بالردود | ردود Meta بتكون JSON ضخم — هاي بتسهل القراءة |
| InQL | GraphQL Scanner | بيعمل introspection ويبني schema — مفيد لاكتشاف endpoints |
| Hackvertor | ترميز/فك ترميز | Meta بتستخدم ترميز معقد — هاي بتسهل التعامل |
تثبيت الإضافات — أمر واحد
# من Burp Suite: # Extender → BApp Store → ابحث عن كل إضافة وثبّتها # أو يدوي من GitHub: # Autorize: https://github.com/PortSwigger/autorize # Logger++: https://github.com/PortSwigger/logger-plus-plus # GraphQL Raider: https://github.com/nicedream666/Burp-GraphQL-Raider # Param Miner: https://github.com/PortSwigger/param-miner # InQL: https://github.com/doyensec/inern-introspect
إعداد Autorize لاختبار Meta
# 1. افتح Autorize tab # 2. بنافذة Incognito — سجّل دخول بحساب "Victim" # 3. انسخ cookies الحساب الثاني وحطها بـ Autorize # (Cookie header الكامل) # 4. فعّل Autorize # 5. استخدم فيسبوك بحساب "Attacker" # 6. Autorize رح يعيد كل طلب بـ cookies الحساب الثاني # ويقارن الردود: # 🟢 أخضر = الرد مختلف (محمي) # 🔴 أحمر = نفس الرد (IDOR محتمل!) # 🟡 أصفر = مش واضح — لازم تفحص يدوي
كتابة تقرير Bug Bounty احترافي لـ Meta — القالب الحصري
لقيت ثغرة — تبريكات! بس التقرير هو اللي بيحدد إذا رح تاخذ مكافأة أو لا. تقرير سيء ممكن يخلي Meta ترفض ثغرة حقيقية. خليني أعطيك القالب اللي بستخدمه.
نصائح لتقرير ناجح:
- كن واضح ومحدد — ما تكتب "يمكن الوصول لبيانات" — اكتب بالضبط شو البيانات
- Screenshots من Burp — حط لقطات شاشة واضحة من الطلب والرد
- خطوات إعادة إنتاج واضحة — أي شخص لازم يقدر يعيد الثغرة بخطواتك
- ما تبالغ بالخطورة — Information Disclosure مش Account Takeover
- أرسل بالإنجليزية — فريق Meta بيتعامل بالإنجليزية
حماية Meta الأمنية — شو رح يواجهك وكيف تتعامل
Meta عندها فريق أمني من أقوى الفرق بالعالم وعندها طبقات حماية كتيرة. لازم تعرفها عشان ما تضيع وقتك:
الحمايات اللي رح تواجهها
| الحماية | كيف بتشتغل | كيف تتعامل |
|---|---|---|
| CSRF Tokens | fb_dtsg token بكل POST request | لازم تستخرجه من الصفحة وتضيفه لكل طلب |
| Rate Limiting | حد على عدد الطلبات | أبطأ الطلبات — لا تعمل mass scanning |
| WAF | بيحجب الطلبات المشبوهة | لا تستخدم payloads واضحة — خلي الاختبار subtle |
| Content Security Policy | CSP headers — بس Facebook CSP عندها 12 طريقة bypass معروفة! | جرّب JSONP على graph.facebook.com و connect.facebook.net — من أشهر طرق الـ bypass |
| Account Checkpoints | تحقق إضافي إذا النشاط مشبوه | حافظ على سلوك طبيعي — لا تقفز بين ميزات بسرعة |
| Honeypots | endpoints وهمية لكشف الماسحات | لا تستخدم scanners آلية — اشتغل يدوي |
⚠️ تحذير مهم — fb_dtsg: هاد الـ CSRF token مطلوب بكل POST request على فيسبوك. بدونه الطلب رح يترفض. بتلاقيه بالـ page source أو بأول response بعد تسجيل الدخول. بـ Burp Repeater، تأكد إنك ناسخ fb_dtsg الصح مع كل طلب.
نصائح ذهبية من تجربتي — كيف تصير تلاقي ثغرات بشكل مستمر
- ركز على الميزات الجديدة: لما Meta تطلق ميزة جديدة (مثل Threads أو Reels أو Meta AI)، هاي أول ما تفحص — لأنها ما انفحصت كتير
- اقرأ التقارير المنشورة: على HackerOne في تقارير مكشوفة عن ثغرات سابقة — اتعلم منها
- فحص Mobile API مختلف عن Web: نزّل تطبيق Facebook/Instagram على الموبايل واعترض الترافيك — Mobile API أحياناً فيها ثغرات مش موجودة بالويب
- استخدم أكتر من حساب: الاختبار الحقيقي بيتطلب حسابين على الأقل — Attacker و Victim
- ما تعتمد على Scanners: Scanner ما رح يلاقي Business Logic bugs على Meta. اشتغل يدوي
- تابع @BugBountyTips على X: فيه نصائح يومية من باحثين محترفين
- الصبر مفتاح النجاح: ممكن تقضي أسابيع بدون نتيجة — هاد طبيعي. المهم إنك تتعلم كل يوم
- تخصص بمنطقة: بدل ما تفحص كل إشي — تخصص بـ Instagram API أو Facebook Marketplace أو Threads
المنهجية الكاملة — Checklist حصري من Shadow Hacker
هاد الـ Checklist بيلخصلك كل اللي حكيناه بالمقال بقائمة عملية. احفظه واستخدمه كل مرة بتفحص:
═══════════════════════════════════════════════════ Shadow Hacker — Meta Bug Bounty Checklist v2.0 ═══════════════════════════════════════════════════ [SETUP] ☐ Burp Suite configured with SSL cert ☐ Scope set (facebook.com, instagram.com, threads.net) ☐ 2 test accounts created (Attacker + Victim) ☐ Extensions installed (Autorize, Logger++, GraphQL Raider) ☐ Autorize configured with Victim's cookies [GRAPHQL RECON] ☐ Collect doc_ids from JavaScript bundles ☐ Log all GraphQL queries with Logger++ ☐ Test each query with different user contexts ☐ Try adding extra fields to queries ☐ Test batch queries for rate limit bypass [IDOR TESTING] ☐ Identify all Object IDs in requests ☐ Replace IDs with Victim's IDs ☐ Test both read (GET) and write (POST/mutation) operations ☐ Check Autorize results for red flags ☐ Test on: Groups, Albums, Stories, DMs, Pages, Reels [AUTHENTICATION] ☐ Test password reset flow (OTP brute force) ☐ Test OAuth redirect_uri manipulation ☐ Test token reuse after password change ☐ Test session invalidation after logout ☐ Test 2FA bypass attempts ☐ Check for race conditions [EMAIL VALIDATION BYPASS] ☐ Bypass client-side email validation via Burp Proxy ☐ Test parameter pollution (duplicate email params) ☐ Test Unicode normalization tricks ☐ Test encoding tricks (null byte, CRLF, quoted) ☐ Test plus addressing and dot tricks ☐ Test Race Condition on email change (Turbo Intruder) ☐ Search for alternative GraphQL mutations ☐ Test on different domains (m., mbasic., beta.) ☐ Test on different API versions (v15, v17, v18) [BUSINESS LOGIC] ☐ Test block bypass scenarios ☐ Test privacy setting bypass via API ☐ Test rate limiting bypass techniques ☐ Test feature abuse (Vanish Mode, Close Friends, etc.) ☐ Test Marketplace logic (price manipulation, etc.) [REPORTING] ☐ Clear title with vulnerability type ☐ Step-by-step reproduction ☐ Screenshots from Burp Suite ☐ Impact assessment with CVSS ☐ Suggested fix
الأسئلة الشائعة — FAQ
كم أقل مكافأة بيدفعها برنامج Meta Bug Bounty؟
أقل مكافأة هي $500 للثغرات منخفضة الخطورة. الثغرات الحرجة ممكن توصل لـ $300,000. Meta دفعت أكثر من $25 مليون دولار لأكتر من 1,400 باحث من 88 دولة منذ 2011. بـ 2025 لحالها دفعت $4 مليون.
هل بقدر أستخدم Burp Suite المجاني لاختبار Meta؟
نعم! Burp Suite Community Edition كافية تماماً للبداية — بتقدر تعترض الطلبات وتعدلها وتستخدم Repeater. النسخة Professional بتعطيك Scanner التلقائي و Intruder بدون قيود — بس مش ضرورية عشان تبدأ.
شو أكثر نوع ثغرات بيتم اكتشافه على فيسبوك؟
IDOR من أكثر الثغرات اللي بيتم اكتشافها — خاصة على GraphQL API. كمان Business Logic bugs و Authentication Bypass و Rate Limiting شائعة.
هل اختبار فيسبوك وانستقرام قانوني؟
نعم — بس لازم تلتزم بقواعد البرنامج. اختبر على حساباتك الخاصة فقط، لا تأثر على مستخدمين آخرين، لا تسرب بيانات، وبلّغ عن أي ثغرة مباشرة لـ Meta قبل نشرها.
كيف أبدأ كمبتدئ بـ Bug Bounty على Meta؟
ابدأ بتعلم أساسيات الويب (HTTP, cookies, sessions)، ثم تعلم Burp Suite، بعدها اقرأ تقارير HackerOne المنشورة عن Meta. ابدأ باختبار الميزات الجديدة (Threads, Reels, AI features) لأنها أكثر عرضة للثغرات.
شو هو GraphQL وليش مهم لاختبار Meta؟
GraphQL هي لغة استعلام تستخدمها Meta بشكل رئيسي. كل طلبات Facebook و Instagram بتمر عبر GraphQL endpoints. فهم بنية GraphQL (queries, mutations, introspection) أساسي لاكتشاف ثغرات IDOR و Authorization Bypass.
كم وقت بياخذ Meta عشان يرد؟
عادةً 1-2 يوم عمل للرد الأولي (triage). القرار النهائي والمكافأة بياخذوا 1-4 أسابيع حسب تعقيد الثغرة.
هل Threads و Reels ضمن النطاق؟
نعم! Threads و Instagram Reels و Facebook Marketplace وكل منتجات Meta ضمن النطاق. الميزات الجديدة غالباً فيها ثغرات أكتر.
في النهاية
في النهاية، لو بدنا نحكيها بصراحة — Bug Bounty على Meta مش سهل بس مش مستحيل. في باحثين عرب قبضوا آلاف الدولارات من فيسبوك وانستقرام. المفتاح هو المنهجية: فهم القواعد، إعداد الأدوات الصح، التركيز على المناطق اللي ما حدا فحصها، والصبر. Burp Suite مع الإضافات الصح بيتحول لسلاح جبار — بس السلاح الحقيقي هو عقلك وتفكيرك الإبداعي.
نصيحتي الأخيرة: ابدأ من اليوم. ما تستنى لحد ما "تتعلم كل إشي" — أفضل طريقة للتعلم هي الممارسة. افتح Burp Suite، سجّل دخول على فيسبوك، وابدأ راقب الطلبات. مع الوقت رح تبدأ تلاحظ أنماط وفرص ما كنت تشوفها قبل.
إذا عجبك المقال أو عندك أي سؤال — اكتبولي بالكومنتات وأنا جاهز أساعد. لا تنسوا تشتركوا بالقناة وتفعلوا الجرس عشان يوصلكم كل جديد. سلام!
الكلمات المفتاحية: ثغرات فيسبوك 2026، اختراق انستقرام، Bug Bounty Meta، Burp Suite فيسبوك، كيف تلاقي ثغرات فيسبوك، Facebook Bug Bounty، Instagram vulnerabilities، GraphQL hacking Facebook، IDOR فيسبوك، Account Takeover انستقرام، Meta Bug Bounty program، Burp Suite tutorial Arabic، اختبار اختراق فيسبوك، ثغرات انستقرام 2026، Facebook GraphQL API، Autorize Burp Suite، Bug Bounty للمبتدئين، كيف تكسب من Bug Bounty، Meta security، Facebook hacking legal، Instagram Bug Bounty، Threads vulnerabilities، Burp Suite extensions، مكافآت فيسبوك، اختبار أمان فيسبوك، GraphQL Raider، IDOR Instagram، Facebook SSRF، Business Logic bugs Meta، كتابة تقرير Bug Bounty، Turbo Intruder Facebook، ثغرات Threads 2026، Meta AI vulnerabilities، WiFi hacking Burp Suite، Email Validation Bypass Facebook، تخطي التحقق من البريد فيسبوك، Facebook email bypass، server-side validation bypass Meta، Race Condition فيسبوك، GraphQL mutation bypass
