// Curriculum / Roadmap
خريطة الطريق.
هذا المسار يأخذك من بناء أول مختبر منزلي حتى تكتيكات الدول والبنى التحتية الحرجة. كل مرحلة تبني على ما قبلها — لا تتجاوزها.
TI0/5
الأساسيات
مبتدئ · ≈ 5 ساعات
TII0/19
العمليات الأساسية
متوسط · ≈ 22 ساعة
TIII0/40
العمليات المتقدمة
متقدم · ≈ 50 ساعة
TIV0/21
الخبراء والتراث المتقدم
خبير · ≈ 45 ساعة
0/85·0%من إجمالي المنهج
TI
Tier I · مبتدئ
الأساسيات
قبل أي هجوم أو دفاع، اعرف الأرضية: مختبرك، Linux، Windows، الشبكات، وعقلية المهاجم.
≈ 5 ساعات
المبادئ الجوهرية
L01·45m
Hacker Mindset — إزاي بيفكر اللي هيخترقك
Kill Chain و MITRE ATT&CK من جوّه — مش من PDF
L02·45m
Lab Setup — ابني الـ lab في 30 دقيقة
VirtualBox + Kali + AD معزول، من غير ما تحرق نفسك
L03·60m
Linux Fundamentals — من غير ما تخاف منه
الملفات، الصلاحيات، الـ processes — اللي بتستخدمه فعلاً كل يوم
L04·60m
Windows Fundamentals — الجوّة اللي محدش بيوريهالك
Registry و PowerShell و Services، وأول لمسة في Active Directory
L05·55m
Networking Basics — اللي محدش شرحه لك صح
TCP/IP و OSI والـ packet لما بتمشي على السلك فعلاً
↓ Next Tier
TII
Tier II · متوسط
العمليات الأساسية
المهارات اليومية لكل من يعمل في الأمن: استطلاع، فحص، أدوات، دفاع أساسي، وحوكمة.
≈ 22 ساعة
الاستطلاع والأدوات
L06·60m
Recon — قبل ما تكتب أول أمر
Passive و Active و OSINT — تشوف من غير ما تتشاف
L07·90m
OSINT — تشتغل محقق فيدرالي بجد
تلاقي، تتأكد، تسند — وأدوات الناس اللي بتشتغل بجد
L08·55m
Scanning بدون ما الـ SOC يشوفك
nmap و nuclei و ffuf — وإزاي تطلع الخدمة وراها إيه
L09·120m
Burp Suite Mastery — زي ما المحترفين بيستخدموه
Proxy و Repeater و Intruder و Collaborator و BCheck — شغل فعلي
L10·30m
Pentester Toolkit — العدّة كلها (Red و Blue)
Kali و Burp و Wazuh و ELK — اللي بتشتغل بيه فعلاً
L11·40m
Exploit Handbook — الأوامر اللي بتنقذك
مرجع سريع، تفتحه وانت في نص الشغل
L12·60m
CVE Hunting — اصطاد اللي يفرق فعلاً
NVD و MITRE و KEV و EPSS — تعرف الجديد وتعرف اللي مهم
العنصر البشري والأساسيات
L13·70m
Social Engineering — البني آدم أرخى نقطة في المنظومة
Phishing و Vishing و Pretexting — إزاي بتتعمل عليك بسهولة
L14·60m
Cryptography & PKI — من غير فلسفة
AES و RSA و TLS و JWT — وفين الناس بتقع
L15·65m
Wireless Security — Wi-Fi و Bluetooth و RFID
اللي بيتبعت في الهوا، أي حد ممكن يلتقطه
L16·75m
Password Cracking — إزاي بتقع فعلاً
Hashcat و John و wordlists و rules — والـ GPU بيعمل إيه
دفاع — الأساسيات
L17·75m
SOC Analyst Day-1 — تتعمل إزاي أول يوم
الـ shift و triage و tickets و التسليم لزميلك
L18·70m
Hardening — قبل المهاجم بيوم
CIS و WAF و Zero Trust و Patching — قفل الأبواب اللي قدامه
L19·55m
Threat Modeling & Compliance — الورق مش بيحمي
STRIDE و NIST و ISO 27001 و GDPR — تستخدمها إزاي بجد
L20·70m
Email Header Analysis — Phishing من جوّه
SPF/DKIM/DMARC، المرفقات، استخراج IOCs، وحوادث BEC
L21·65m
Chain of Custody — الدليل لو ضاع، خلصت
Imaging و hashing و write-blockers — دليل يقف في المحكمة
العمليات والاستخبارات
L22·75m
Threat Intel — تعرف اللي قصادك
STIX/TAXII و MISP و Diamond Model و Pyramid of Pain
L23·60m
Federal Cyber Law — قبل ما تكتب أمر واحد
CFAA و ECPA و Title III و FISA — حدود اللي تقدر تعمله
L24·70m
Pentest Reporting — التقرير اللي بيخليك تتدفع
Executive summary و CVSS و proof-of-exploit وخطة معالجة تتنفذ
↓ Next Tier
TIII
Tier III · متقدم
العمليات المتقدمة
تخصص حقيقي في كل مجال: الويب، الأطر البرمجية، الشبكة، AD، السحابة، نقاط النهاية، IoT، وكشف التهديدات.
≈ 50 ساعة
الويب وAPI
L25·120m
Core Web Vulnerabilities — OWASP من شغل فعلي
SQLi و XSS و SSRF و IDOR و Auth — اللي بتقع فيها كل يوم
L26·70m
API Security — البوابة اللي محدش بيراقبها
BOLA و OAuth و GraphQL و REST — اللي بتقع فيه فعلاً
L27·120m
Advanced Web — Smuggling و Desync
Request Smuggling و HTTP/2 Desync و Deserialization chains
أمن الأطر البرمجية
L28·110m
Node.js & Express Security — من جوّه
Prototype pollution و SSRF و deserialization و RCE في الـ middleware
L29·85m
NestJS Security — Guards بتتكسر إزاي
Guards bypass و ValidationPipe و DI poisoning و GraphQL في Nest
L30·90m
React Security — اللي اسمه dangerously فعلاً خطر
dangerouslySetInnerHTML و JSX injection و URL handlers و XS-Leaks
L31·100m
Next.js Security — CVE-2025-29927 اللي قلب الدنيا
Middleware bypass و Server Actions abuse و ISR poisoning و RSC leaks
L32·80m
Angular Security — Sanitizer مش حصن
Trusted Types و DomSanitizer bypasses و AOT vs JIT و SSR leaks
الشبكة واللاسلكي
Active Directory والهوية
L35·100m
Active Directory Attacks — من جوّه بقى
ADCS و Delegation و NTLM Relay و Shadow Credentials
L36·85m
AD CS Attacks — من ESC1 لـ ESC15
الشهادات اللي بتفتح الـ Domain على الآخر
L37·100m
BloodHound Mastery — لو معرفتش تستخدمه يبقى مش شغّال
SharpHound و AzureHound و Cypher — مسارات للـ Domain Admin
L38·85m
MFA / SAML / OAuth Attacks — لما الحماية بتلف عليك
MFA fatigue و Evilginx و token theft و Golden SAML
السحابة
L39·100m
Cloud Attacks — AWS / Azure / GCP بتقع إزاي
الجبهة السحابية — IAM و S3 و IMDS و Containers
L40·100m
AWS Attack Chains — سلاسل بتحصل فعلاً
IAM enum و Pacu و S3 و IMDS و Lambda و SSM
L41·95m
Azure Attacks — الـ Managed Identity مش لُعبة
RBAC abuse و MI theft و Storage و Key Vault و Runbooks
L42·85m
M365 & Entra Attacks — Token واحد بيقلب الدنيا
Token theft و Conditional Access bypass و OAuth abuse
نقاط النهاية وتصعيد الصلاحيات
L43·90m
Server Exploitation — السيرفر وقع والـ root في إيدك
RCE و SSH و LinPEAS و GTFOBins — اللي بيشتغل بجد
L44·85m
Linux Privilege Escalation — من user لـ root
SUID و sudo abuses و capabilities و PATH hijack و LinPEAS
L45·90m
Windows Privilege Escalation — وصول SYSTEM
Token impersonation و service abuse و UAC bypass و DLL hijack
L46·75m
Post-Exploitation — الشغل الحقيقي بعد ما تدخل
Persistence و Pivoting و C2 و Exfiltration
L47·95m
Lateral Movement — تتنقّل من غير ضوضا
PtH و PsExec و WMI و WinRM و SOCKS و Chisel و Ligolo-ng
L48·90m
Defense Evasion — EDR Bypass اللي محدش بيقولك
AMSI و ETW و Syscalls و Packers — تعدي من غير ما تحس بيك
L49·90m
Initial Access — أول قدم جوّه الشبكة
Spear-phishing و خدمات مكشوفة و هجمات الهوية
L50·60m
Offensive OPSEC — تخش وتطلع من غير أثر
بنية تحتية نضيفة، false flags، وأنتي-فورنزكس
L51·55m
Target Selection — تختار الهدف منين أصلاً
Threat modeling من قعدة المهاجم نفسه
L52·150m
Full Attack Scenario — من الـ Recon لحد الـ Backdoor
Red كاملة على target.gov، وبعدها Blue ترد عليها
IoT والأجهزة المادية
الفريق الأزرق المتقدم
L56·85m
Detection & Monitoring — تشوف ولا بتتفرّج
Detection Engineering و Sigma و Suricata و Honeypots
L57·110m
Detection Engineering — تكتب Detection بتشتغل فعلاً
Sigma و KQL و Splunk — تقلّل false positives وتغطّي ATT&CK
L58·90m
Threat Hunting — مش مستني التنبيه
KQL و SPL و Sigma — تطلع تدوّر بفرضية
L59·80m
Incident Response — الحادثة وقعت، بتعمل إيه
Playbook و Forensics — قرارات تحت الضغط
L60·90m
DFIR Triage — أول ساعة بتقرر كل حاجة
KAPE و Velociraptor و Volatility و Timeline analysis
L61·90m
Malware Analysis & RE — تفك الـ binary
Static و Dynamic و Sandboxing و Reverse Engineering
L62·90m
Windows Forensics — الآثار اللي بتفضح المهاجم
Sysmon و 4624/4688/7045 و MFT و ShimCache و Prefetch
L63·90m
Network Forensics — PCAP بيحكي اللي حصل
Wireshark و Zeek و Suricata و NetFlow — تركّب الجلسة تاني
L64·100m
Memory Forensics — Volatility بيفضح كل حاجة
Memory capture و Vol3 plugins و rootkit hunting و injection
↓ Next Tier
TIV
Tier IV · خبير
الخبراء والتراث المتقدم
أبحاث الثغرات، تطوير الـ exploits، تكتيكات الدول، البنية التحتية الحرجة، والسلاسل الكاملة.
≈ 45 ساعة
أبحاث الثغرات وتطوير الـ exploits
L65·180m
Web Red Team Deep — لما الفريق الأحمر بيشتغل بجد
سلاسل استغلال متقدمة و blind techniques و WAF bypass
L66·120m
Web Vulnerability Research — تصطاد 0-day بإيدك
Variant analysis و Patch diffing و Fuzzing — وعمليات بتمتد شهور
L67·150m
Binary Exploitation — الذاكرة من جوّه
Stack و Heap overflows و ROP — وتعدية ASLR/DEP
L68·80m
Linux Kernel LPE — الـ root من تحت
DirtyPipe و nftables و OverlayFS — CVEs بتشتغل فعلاً
L69·140m
Recent Zero-Days (2023–2026) — اللي اشتغلت In-The-Wild
اشتغلت إزاي فعلاً — وPoCs تجربها بنفسك
البنية التحتية الحديثة
L70·75m
Kubernetes Attacks — RBAC مش حماية
RBAC abuse و pod escapes و etcd و supply chain
L71·90m
Container Escapes — تطلع من الـ Container للـ Host
Docker breakouts و K8s escapes و VM escapes
L72·85m
CI/CD Attacks — الـ Pipeline اللي بيخش لـ prod
GitHub Actions و GitLab CI و Jenkins — secrets و runners و artifacts
L73·80m
Red Team Infrastructure — C2 يصمد قدام Blue
C2 و Redirectors و Payload hosting و DNS
L74·65m
Supply Chain Attacks — SolarWinds و XZ من جوّه
npm و PyPI و build systems — هجمات بتدخل من بعيد
خصومة متقدمة
L75·70m
DNS Tunneling & Covert Channels — البيانات بتتسرّب وانت مش حاسس
DNS exfil و ICMP/HTTPS tunneling و DGAs و fast flux
L76·75m
AI / LLM Security — الـ Prompt هو الباب
Prompt injection و RAG poisoning و agentic abuse
L77·80m
Ransomware — تشريح الهجوم بدل ما تخاف منه
إزاي بتدخل، إزاي بتنتشر، إزاي بتقفلها — منظور دفاعي
L78·150m
University Attack Chain — هجوم A-to-Z على جامعة و IoT
من Recon لسيطرة كاملة، عبر كاميرات وطابعات وقارئات بطاقات
ICS والبنية التحتية الحرجة
تكتيكات الدول والاستخبارات
نصيحة في التطبيق
القراءة وحدها لا تصنع مختصاً. كل درس يفترض أنك ستجرّب ما فيه داخل مختبرك. خصص ساعة عمليّة على الأقل بعد كل ساعة قراءة. هذا الفرق بين شخص يعرف و شخص يستطيع.