ملحوظه - لايوجد روابط لكي تبحث بنفسك وتتعلم مهاره البحث
Roadmap Mobile Application Penetration Testing
(من الصفر الكامل – Android + iOS)
هدفك في الآخر:
تفهم المعمارية والبنية الداخلية لتطبيقات أندرويد وiOS
تعرف إزاي تحلل الكود وتفكك التطبيق
تستغل أشهر ثغرات OWASP M10
وتستخدم أدوات قوية زي Frida, Burp, Objection, MobSF
وتكون مؤهل تقدم تقارير Bug Bounty محترفة
المرحلة 1: أساسيات البرمجة وبناء التطبيقات
ليه؟
لأنك لازم تفهم التطبيقات دي بتتبني ازاي قبل ما تفكر تكسرها.
أندرويد – تتعلم:
Java أو Kotlin
Android Studio
Build Process + APK Structure
Android Manifest
SharedPreferences + Internal Storage
الاتصال بـ APIs
Authentication/Login Systems
📘 الكورسات:
Java Programming for Beginners
Android App Development for Beginners
Kotlin for Android Developers
📘 iOS – تتعلم:
Swift (مش Objective-C لأن Swift هو اللي مسيطر دلوقتي)
Xcode
.IPA Structure
iOS App Lifecycle
Keychain + UserDefaults
Permissions + Entitlements
📘 الكورسات:
Swift Programming for Beginners
iOS App Development Bootcamp –
iOS Security for Developers
⏱ مدة المرحلة بالكامل: من 6 لـ 8 أسابيع (لو شغال بتركيز)
💬 نصيحة:
ابني تطبيق بسيط لكل نظام (Login + تخزين بيانات)، هتحتاجه كـ lab بعدين.
المرحلة 2: المعمارية وفهم البيئة الأمنية لكل نظام
ليه؟
قبل ما تخترق، لازم تفهم النظام بيأمن نفسه ازاي.
✅ Android Security Concepts:
Android Sandbox
App Signing & Verification
SELinux
Permissions & AppOps
Root Detection & Bypass
✅ iOS Security Concepts:
Code Signing
Sandbox
Keychain Access
Jailbreak Detection
Secure Enclave
App Transport Security
📘 كورسات:
Android Security Internals
iOS Security & Forensics
⏱ المدة: أسبوعين
💬 نصيحة:
اقرأ وثائق Google وApple الرسمية، بس ركز على التطبيق العملي.
المرحلة 3: OWASP Mobile Top 10 (العمود الفقري)
هتتعلم:
M1: Improper Platform Usage
M2: Insecure Data Storage
M3: Insecure Communication
M4: Insecure Authentication
M5: Insufficient Cryptography
M6: Insecure Authorization
M7: Client Code Tampering
M8: Reverse Engineering
M9: Extraneous Functionality
M10: Insecure API Usage
📘 كورسات:
OWASP Mobile Top 10 – Practical Course
Mobile Application Security & PenTesting – TCM or Pentester Academy
📚 كتب:
OWASP Mobile Testing Guide
Mobile Application Hacker’s Handbook
⏱ المدة: 3–4 أسابيع (طبق كل نقطة وانت بتتعلمها)
💬 نصيحة:
خلي تطبيقاتك القديمة هي معملك. جرّب على حاجات انت عاملها بنفسك الأول.
المرحلة 4: الأدوات الأساسية في الموبايل بانتيستنج
✅ Android أدوات:
ADB
APKTool / JADX
Frida
MobSF
Objection
Burp Suite + Certificate Pinning Bypass
✅iOS أدوات:
Xcode / Cydia / Jailbroken iPhone (اختياري)
Frida for iOS
Cycript (قديم شوية بس مفيد)
Objection
Class-dump / Hopper / Ghidra
📘 كورسات:
Frida for Android & iOS –
Reverse Engineering iOS Apps –
⏱ المدة: 2–3 أسابيع
💬 نصيحة:
ابدأ بفرّيدة (Frida) و Objection، لأنهم أقوى أسلحة الموبايل حالياً.
المرحلة 5: التدريب العملي / الـ Labs
Android:
InsecureBankv2
DVIA for Android (Damn Vulnerable Android App)
OWASP GoatDroid
TryHackMe – Android Attack Box
Mobexler (جهاز افتراضي شامل للتمرين)
iOS:
DVIA-v2 (Damn Vulnerable iOS App)
Jailbroken iPhone (اختياري)
Hack The Box – iOS Labs
Mobexler – iOS side
⏱ المدة: شهر كامل تطبق فيه وتحاول تبلغ ثغرات على تطبيقات خارجية (لو واثق)
💬 نصيحة:
اختار كل أسبوع نوع ثغرة واحدة، وجرّب تطبّقها على أكتر من تطبيق.
المرحلة الأخيرة: Bug Bounty في عالم الموبايل
المنصات اللي فيها تطبيقات موبايل:
HackerOne
Bugcrowd
Intigriti
YesWeHack
Synack (لو وصلت لمستوى جامد)
💬 نصيحة:
ابدأ بالبرامج الـ “vdp only” (برامج مجانية بدون مقابل) علشان تتمرن وتبني اسمك.
_______________________
حساباتي على منصات التواصل:
| المنصة | الرابط أو المعرف |
|---|---|
| فيسبوك لينكدان | [حسابي الشخصي] [حسابي الشخصي] |
| يوتيوب | [قناتي الرسمية] |
| تويتر (X) | [Sen00oo] |
| تليجرام (شخصي) | @Sen00oo |
| جروب تليجرام | [انضم للجروب] |
| قناة تليجرام | [تابع القناة] |
| جروب واتساب | [انضم للجروب] |
💰 للدعم المادي:
| الطريقة | التفاصيل |
|---|---|
| InstaPay | sen00oo@instapay |
| رقم الهاتف | 01272834923 |
| PayPal | [رابط PayPal ] |