מה זה תקיפת Trojan Source ולמה זה רלוונטי לקוד בעברית?

תקיפת Trojan Source משתמשת בתווי Unicode דו-כיווניים כדי להסתיר קוד זדוני. בקוד שמכיל עברית ואנגלית הסיכון גבוה יותר כי תווי RTL כבר קיימים בקוד באופן לגיטימי.

האם חובה לרשום מאגר מידע ברשות הגנת הפרטיות?

עם תיקון 13 (אוגוסט 2025), החובה צומצמה בעיקר לגופים ציבוריים ומתווכי מידע עם 10,000+ רשומות. רוב החברות הפרטיות פטורות, אבל מומלץ לבדוק עם יועץ משפטי.

מה הסיכון בדליפת מפתחות של שערי תשלום ישראליים?

מפתחות של Cardcom, Tranzila או PayMe מאפשרים חיוב כרטיסי אשראי. דליפה עלולה לגרום לחיובים לא מורשים ולחשיפה לתביעות לפי PCI DSS.

האם חוק הגנת הפרטיות הישראלי דומה ל-GDPR?

יש דמיון בעקרונות הבסיסיים, אבל ההבדלים משמעותיים: GDPR דורש DPO, בסיס חוקי מפורט, וקנסות גבוהים יותר. החוק הישראלי עודכן בתיקון 13 (2025) שהוסיף חובת מינוי ממונה הגנת מידע לגופים מסוימים.

איך מגנים על טפסי תשלום ישראליים מ-CSRF?

השתמשו ב-CSRF token ייחודי לכל טופס, ודאו שה-token נבדק בצד השרת, והגדירו SameSite=Strict על עוגיות סשן. חשוב במיוחד בטפסי סליקה של Cardcom ו-Tranzila.

skills-il

הגשת סקיל

עב EN

סורק אבטחת אפליקציות ישראלי

אמין84/100

הבעיה

מפתחים ישראליים בונים אפליקציות ווב ללא כלים ייעודיים לסריקת אבטחה שמתחשבים בהקשר הישראלי: קלט בעברית שדורש סניטציה מיוחדת, תקיפות Unicode דו-כיווניות, דרישות חוק הגנת הפרטיות, ודליפת מפתחות API של שירותים ישראליים. בלי סריקה מותאמת, פגיעויות ספציפיות לאפליקציות ישראליות נשארות בלתי מזוהות.

יוצר: @skills-il

סריקת אבטחה לאפליקציות ישראליות. בדיקות OWASP Top 10, עמידה בדרישות רשות הגנת הפרטיות, סריקת תלויות, זיהוי סודות, ודפוסי קוד מאובטח לאפליקציות בעברית/RTL.

0.0 (0 ביקורות)1 התקנות5 צפיותאבטחה ותאימות

npx skills-il add skills-il/security-compliance --skill israeli-appsec-scanner

מתי להשתמש

כשרוצים לבצע סריקת אבטחה מקיפה לאפליקציה ישראלית
כשצריך לוודא עמידה בדרישות חוק הגנת הפרטיות ותקנות 2017
כשרוצים לזהות דליפת מפתחות API של שירותים ישראליים כמו Cardcom או Tranzila
כשבודקים אפליקציה עם קלט בעברית נגד התקפות XSS ו-SQL injection
כשמכינים אפליקציה לביקורת SOC 2 או PCI DSS

סורק אבטחת אפליקציות ישראלי

כלי סריקה ובדיקות אבטחה שמותאם לאפליקציות ווב ישראליות. הסקיל מכסה את כל הספקטרום, מבדיקות OWASP Top 10 ועד עמידה בדרישות רשות הגנת הפרטיות, עם דגש מיוחד על וקטורי תקיפה שקשורים לעברית ו-RTL.

רשימת בדיקות OWASP Top 10 (בהקשר ישראלי)

עברו על כל קטגוריה בשיטתיות. לכל ממצא, סמנו רמת חומרה (קריטי/גבוה/בינוני/נמוך) ותנו המלצת תיקון.

A01: בעיות בבקרת גישה

וודאו שכל נקודות ה-API דורשות אימות (בדקו middleware של Next.js, guards של NestJS)
ודאו שבקרת גישה מבוססת תפקידים מכסה admin, user ואנונימי
בדקו שנתיבי URL בעברית לא יכולים לעקוף הרשאות מבוססות ניתוב
חפשו IDOR על משאבים שגלויים למשתמשים
ודאו שהגדרות CORS מגבילות את ה-origins לדומיינים הישראליים הצפויים
וודאו שטוקני JWT נבדקים בצד השרת, לא רק בצד הלקוח
בדקו directory traversal עם קטעי נתיב מקודדים בעברית (%D7%90 וכו')

A02: כשלים קריפטוגרפיים

ודאו TLS 1.2+ על כל החיבורים (ספקי אחסון ישראליים לפעמים משתמשים בגרסאות ישנות כברירת מחדל)
בדקו שסיסמאות מוצפנות עם bcrypt/argon2 (לא MD5/SHA1)
ודאו שמספרי תעודת זהות מוצפנים ב-rest
ודאו שנתוני כרטיסי אשראי לא נשמרים מקומית (דרישת PCI DSS)
בדקו שמפתחות service role של Supabase לא חשופים ללקוח
ודאו שטוקנים של שערי תשלום ישראליים (קארדקום, טרנזילה) מאוחסנים בצורה מאובטחת

A03: הזרקות (Injection)

בדקו SQL injection עם טקסט בעברית ('; DROP TABLE -- עם תווים בעברית)
ודאו שימוש ב-parameterized queries לכל פעולות מסד הנתונים עם טקסט עברי
בדקו NoSQL injection בשאילתות MongoDB (נפוץ בסטארטאפים ישראליים שמשתמשים ב-MEAN stack)
בדקו command injection דרך שמות קבצים שמכילים תווים בעברית
ודאו הגנה מפני LDAP injection אם יש אינטגרציה עם ספריות ארגוניות ישראליות
בדקו template injection בתבניות אימייל עם תוכן בעברית

A04: תכנון לא מאובטח

ודאו rate limiting על נקודות קצה של שערי SMS ישראליים (מניעת הצפה ב-OTP)
חפשו פגמים בלוגיקה העסקית בתהליכי תשלום ישראליים
ודאו שטפסים מרובי שלבים (נפוצים באינטגרציות עם שירותי ממשלה) שומרים state בצורה מאובטחת
ודאו שמגבלות אורך קלט בעברית מתחשבות בתווי UTF-8 מרובי בתים

A05: תצורה לא מאובטחת

בדקו כותרות HTTP של אבטחה (CSP, X-Frame-Options, HSTS)
ודאו שדפי שגיאה לא חושפים stack traces או הודעות דיבאג בעברית
ודאו שסיסמאות ברירת מחדל הוחלפו בכל השירותים
בדקו שקבוצות אבטחה של ספקי ענן ישראליים (AWS IL region, GCP) מוגדרות כראוי
ודאו שמדיניות RLS של Supabase מופעלת על כל הטבלאות
ודאו שקבצי .env עם credentials של שירותים ישראליים נמצאים ב-.gitignore

A06: רכיבים פגיעים ומיושנים

הריצו npm audit או pnpm audit וטפלו בממצאים קריטיים/גבוהים
חפשו פגיעויות ידועות בספריות ספציפיות לעברית (hebrew-date, מעבדי טקסט דו-כיווני)
ודאו שתמונות בסיס של קונטיינרים מעודכנות (השתמשו ב-trivy image)
בדקו גרסאות מיושנות של SDK של שערי תשלום ישראליים

A07: כשלי זיהוי ואימות

ודאו ולידציה של פורמט מספר טלפון ישראלי (+972) בתהליכי אימות
בדקו שקודי OTP למספרים ישראליים פגים אחרי 5 דקות לכל היותר
בדקו שמדיניות סיסמאות תומכת בתווים בעברית
ודאו ניהול סשנים תקין אחרי אימות עם ספקי OAuth ישראליים
בדקו הגנה מפני credential stuffing על נקודות קצה של התחברות

A08: כשלי שלמות תוכנה ונתונים

ודאו שלמות חבילות npm עם ולידציית lockfile
בדקו אבטחת pipeline של CI/CD (GitHub Actions, Vercel deployment hooks)
ודאו שוובהוקים של שירותים ישראליים צד שלישי מאומתים (ולידציית חתימה)
ודאו Subresource Integrity (SRI) לסקריפטים חיצוניים

A09: כשלי לוגים וניטור

ודאו שאירועי אימות נרשמים (התחברות, התנתקות, ניסיונות כושלים)
בדקו שלוגים קולטים טקסט בעברית נכון (קידוד UTF-8)
ודאו שנתיבי ביקורת שנדרשים על ידי רשות הגנת הפרטיות מתוחזקים לגישה למידע אישי
ודאו שאחסון לוגים עומד בדרישות שמירת מידע של החוק הישראלי

A10: זיוף בקשות בצד השרת (SSRF)

ודאו ולידציית URL עבור כתובות שהמשתמש מספק (חסימת טווחי רשת פנימיים)
בדקו שאינטגרציות עם ממשקי API ממשלתיים ישראליים מוודאים URL-ים של הפניות
בדקו SSRF דרך URL-ים מקודדים בעברית ותקיפות IDN homograph

עמידה בדרישות רשות הגנת הפרטיות

חוק הגנת הפרטיות (1981) והתקנות שלו מטילים דרישות ספציפיות על אפליקציות שמטפלות במידע אישי של תושבי ישראל.

רישום מאגרי מידע

על פי החוק הישראלי, מאגרי מידע מסוימים שמכילים מידע אישי חייבים להירשם ברשות:

בדקו חובת רישום: מאגרים עם 10,000+ רשומות, או שמכילים מידע רגיש (רפואי, פיננסי, ביומטרי), או שמשמשים לדיוור ישיר, חייבים רישום
שדות רישום: שם המאגר, מטרה, קטגוריות מידע, אמצעי אבטחה, מעבדי מידע, העברות חוצות גבולות
חידוש שנתי: הרישום חייב להתחדש מדי שנה
פטורים: מאגרים שמשמשים אך ורק לניהול יחסי עובד-מעביד (בתנאים מסוימים)

דרישות הגנת מידע

רשימת בדיקות: עמידה בחוק הגנת הפרטיות

[ ] הסכמה: קבלו הסכמה מדעת לפני איסוף מידע אישי
    - ההסכמה חייבת להיות ספציפית, מושכלת וחופשית
    - טקסט ההסכמה בעברית חייב להיות ברור ומובן
    - הסכמה נפרדת למטרות עיבוד שונות

[ ] הגבלת מטרה: שימוש במידע רק למטרה המוצהרת
    - תעדו את המטרה במדיניות הפרטיות (עברית + אנגלית)
    - אל תשנו ייעוד מידע ללא הסכמה מחודשת

[ ] מזעור מידע: אספו רק מידע הכרחי
    - בדקו כל שדה בטופס מבחינת הכרחיות
    - מספרי תעודת זהות יש לאסוף רק כשיש חובה חוקית

[ ] אמצעי אבטחה: יישמו אמצעים טכניים מתאימים
    - עקבו אחרי "תקנות אבטחת מידע" (2017) של הרשות
    - בצעו הערכות אבטחה שנתיות
    - שמרו לוגים של גישות למשך 24 חודשים לפחות

[ ] זכויות נושאי מידע: תמכו בבקשות גישה, תיקון ומחיקה
    - הגיבו תוך 30 יום לבקשות גישה למידע
    - ספקו מידע בפורמט מובנה וקריא מכונה
    - תמיכה בעברית לכל התקשורת עם נושאי מידע

[ ] הודעה על אירוע אבטחה: הודיעו לרשות ולנפגעים
    - "אירוע אבטחה חמור" חייב דיווח לרשות
    - ההודעה צריכה להיות בעברית לתושבי ישראל
    - תעדו את כל האירועים ושלבי התיקון

העברת מידע חוצת גבולות

החוק הישראלי מגביל העברת מידע אישי מחוץ לישראל. ההעברה מותרת כאשר:

למדינת היעד רמת הגנה נאותה (מדינות האיחוד האירופי, מוכרות על ידי הרשות)
נושא המידע הסכים להעברה
ההעברה דרושה לקיום חוזה
קיימים ערובות חוזיות מתאימות (סעיפים חוזיים סטנדרטיים)

תרחישים נפוצים באפליקציות ישראליות:

אחסון בענן ב-AWS/GCP: ודאו שיש הסכם עיבוד מידע
שימוש בכלי SaaS אמריקאיים: ודאו ערובות חוזיות
שירותי אנליטיקה: שקלו אנונימיזציה של מידע לפני ההעברה

סריקת תלויות

npm/pnpm audit

# הרצת סריקת פגיעויות
pnpm audit

# תיקון אוטומטי היכן שאפשר
pnpm audit --fix

# יצירת דוח JSON מפורט
pnpm audit --json > audit-report.json

# בדיקה לפי רמת חומרה
pnpm audit --audit-level=high

סריקת קונטיינרים עם Trivy

# סריקת תמונת Docker
trivy image your-app:latest

# סריקה עם סינון חומרה
trivy image --severity HIGH,CRITICAL your-app:latest

# סריקת מערכת קבצים (לפרויקטים מקומיים)
trivy fs --security-checks vuln,secret,config .

סריקת תלויות Python

# שימוש ב-pip-audit
pip-audit

# עם הצעות תיקון
pip-audit --fix --dry-run

# סריקת קובץ requirements
pip-audit -r requirements.txt

זיהוי סודות

סריקת credentials של שירותים ישראליים

אפליקציות ישראליות משתמשות בדרך כלל ב-credentials של שירותים שלעולם לא צריכים להיכנס ל-version control:

שערי תשלום ישראליים:

קארדקום: מספרי מסוף, שמות משתמש API, קודי פעולה
טרנזילה: קודי ספק, סיסמאות מסוף
PayMe: מזהי מוכר, מפתחות API
משולם: קודי עמוד, מפתחות API

שירותים ישראליים:

מפתחות API של דואר ישראל
credentials של ממשקי API בנקאיים (פועלים, לאומי, דיסקונט, מזרחי)
טוקנים של Gov.il API
מפתחות API של שערי SMS ישראליים (019, Cellact, InforUMobile)

שימוש ב-TruffleHog

# סריקת היסטוריית git
trufflehog git file://. --only-verified

# סריקת ענף ספציפי
trufflehog git file://. --branch main --only-verified

# סריקה עם פלט JSON
trufflehog git file://. --json > secrets-report.json

שימוש ב-Gitleaks

# סריקת מאגר
gitleaks detect --source . --verbose

# סריקה עם קונפיגורציה מותאמת לשירותים ישראליים
gitleaks detect --source . --config .gitleaks.toml

# יצירת דוח
gitleaks detect --source . --report-format json --report-path gitleaks-report.json

אבטחה ספציפית לעברית/RTL

תקיפות טקסט דו-כיווני (Trojan Source)

תווי בקרה דו-כיווניים יכולים לגרום לקוד להיראות שונה ממה שהוא באמת עושה. זה רלוונטי במיוחד בבסיסי קוד מעורבים עברית/אנגלית.

תווים מסוכנים לזהות:

U+202A (Left-to-Right Embedding)
U+202B (Right-to-Left Embedding)
U+202E (Right-to-Left Override)
U+2066 עד U+2069 (Isolate characters)

מניעה: הריצו את סקריפט הזיהוי שנמצא ב-scripts/security-audit-checklist.py כדי לסרוק קבצי קוד לתווים דו-כיווניים חבויים.

תקיפות הומוגליף בעברית

תווים עבריים מסוימים דומים ויזואלית לתווים לטיניים, מה שמאפשר פישינג וזיוף:

עברית	דומה ללטינית	Unicode
ס (סמך)	o	U+05E1
ו (וו)	l, 1	U+05D5
ח (חת)	n	U+05D7
ן (נון סופית)	l	U+05DF

מניעה: נרמלו ובדקו תקינות של כל ה-URL-ים והמזהים שגלויים למשתמשים. דחו מחרוזות מעורבות כתב בהקשרים רגישים מבחינת אבטחה.

ולידציית קלט בעברית

// ולידציה לקלט בעברית בלבד
const HEBREW_PATTERN = /^[\u0590-\u05FF\s\-'".,:;!?()]+$/;

// ולידציה לקלט מעורב עברית/אנגלית
const MIXED_PATTERN = /^[\u0590-\u05FFa-zA-Z0-9\s\-'".,:;!?()@#$%&*]+$/;

// ולידציית מספר טלפון ישראלי
const IL_PHONE_PATTERN = /^(\+972|0)(5[0-9]|7[2-9])\d{7}$/;

// ולידציית מספר תעודת זהות עם ספרת ביקורת
function validateIsraeliId(id) {
  if (!/^\d{9}$/.test(id)) return false;
  let sum = 0;
  for (let i = 0; i < 9; i++) {
    let digit = parseInt(id[i]) * ((i % 2) + 1);
    if (digit > 9) digit -= 9;
    sum += digit;
  }
  return sum % 10 === 0;
}

דפוסי קוד מאובטח

שאילתות עם פרמטרים לטקסט עברי

// נכון: שאילתה עם פרמטרים (מאובטח)
const { data, error } = await supabase
  .from('skills')
  .select('*')
  .ilike('name_he', `%${searchTerm}%`);

// לא נכון: שרשור מחרוזות (פגיע ל-SQL injection)
// const query = `SELECT * FROM skills WHERE name_he LIKE '%${searchTerm}%'`;

הגנת CSRF לטפסי תשלום ישראליים

import { randomBytes } from 'crypto';

function generateCsrfToken(): string {
  return randomBytes(32).toString('hex');
}

function validateCsrfToken(session: string, submitted: string): boolean {
  return session === submitted && session.length === 64;
}

הגבלת קצב לשערי SMS ישראליים

// הגבלת בקשות OTP למניעת ניצול לרעה
// SMS ישראלי עולה בערך 0.05-0.15 שקלים להודעה
const OTP_LIMITS = {
  perPhone: { max: 3, windowMs: 15 * 60 * 1000 },    // 3 ב-15 דקות לטלפון
  perIp: { max: 10, windowMs: 60 * 60 * 1000 },       // 10 בשעה ל-IP
  global: { max: 1000, windowMs: 60 * 60 * 1000 },    // 1000 בשעה גלובלי
};

רשימת בדיקות ציות

חוק הגנת הפרטיות הישראלי

דרישה	חוק ישראלי	מקבילה ב-GDPR	סטטוס
בסיס חוקי לעיבוד	סעיף 1, חה"פ	סעיף 6 GDPR	[ ]
דרישות הסכמה	סעיף 11, חה"פ	סעיף 7 GDPR	[ ]
זכות גישה	סעיף 13, חה"פ	סעיף 15 GDPR	[ ]
זכות תיקון	סעיף 14, חה"פ	סעיף 16 GDPR	[ ]
זכות מחיקה	סעיף 14א, חה"פ	סעיף 17 GDPR	[ ]
אמצעי אבטחה	תקנות 2017	סעיף 32 GDPR	[ ]
הודעה על אירוע	תקנה 11א	סעיפים 33-34 GDPR	[ ]
העברה חוצת גבולות	סעיף 36, חה"פ	סעיפים 44-49 GDPR	[ ]
רישום מאגר	סעיף 8, חה"פ	סעיף 30 GDPR (ROPA)	[ ]

PCI DSS לעיבוד תשלומים ישראלי

אם האפליקציה שלכם מעבדת כרטיסי אשראי ישראליים (ישראכרט, לאומי קארד, כאל):

קביעת רמה: על בסיס נפח עסקאות שנתי
בחירת SAQ: רוב האפליקציות הישראליות מתאימות ל-SAQ A או SAQ A-EP
ספציפי לישראל:
- לשב"א (מערכת הסליקה הישראלית) יש דרישות אבטחה משלה
- מספרי כרטיסי אשראי ישראליים עוקבים אחרי אלגוריתם Luhn הסטנדרטי
- הוראת קבע דורשת תיעוד הסכמה נוסף

הרצת ביקורת האבטחה

השתמשו בסקריפטים המצורפים לבדיקות אוטומטיות:

# הרצת רשימת בדיקות אבטחה מלאה
python scripts/security-audit-checklist.py --project-dir /path/to/project

# סריקה לאיתור credentials של שירותים ישראליים
bash scripts/secrets-scanner.sh /path/to/project

# יצירת דוח ציות
python scripts/security-audit-checklist.py --project-dir /path/to/project --format json > report.json

עיינו בתיקיית references/ למידע מפורט על חוק הגנת הפרטיות ושיקולי OWASP לאפליקציות עברית/RTL.

מטא-נתונים

יוצר:skills-il

GitHub:israeli-appsec-scanner

התקנות:1

צפיות:5

ביקורות:0 (0.0)

נוצר:15 במרץ 2026

עודכן:15 במרץ 2026

סוכנים נתמכים

Claude CodeCursorGitHub CopilotWindsurfOpenCodeCodex

תגיות

אבטחת מידעסריקת פגיעויותOWASPפרטיותהגנת סייברישראל

שיטות עבודה מומלצות

סרקו תמיד נגד תווי Unicode דו-כיווניים (Trojan Source) בקוד עם טקסט בעברית
השתמשו ב-parameterized queries גם בשאילתות עם טקסט עברי, לעולם לא בניית מחרוזת ידנית
הגבילו קצב SMS OTP לשערי SMS ישראליים כדי למנוע ניצול
בדקו .gitignore עבור קבצי .env שמכילים מפתחות של שירותים ישראליים
רשמו מאגרי מידע ברשות הגנת הפרטיות אם אתם מעבדים מידע רגיש

נסו את הפרומפטים האלה

סריקת אבטחה מלאה

בצע סריקת אבטחה מלאה של האפליקציה שלי לפי OWASP Top 10 עם דגש על קלט בעברית ותקיפות RTL

בדיקת דליפת סודות

סרוק את הפרויקט שלי לדליפת מפתחות API של שירותים ישראליים כמו Cardcom, Tranzila, ו-Supabase

בדיקת עמידה בחוק הפרטיות

בדוק האם האפליקציה שלי עומדת בדרישות חוק הגנת הפרטיות הישראלי ותקנות אבטחת מידע 2017

הגנה מפני Trojan Source

סרוק את הקוד שלי לתווי Unicode דו-כיווניים מוסתרים שעלולים לשנות את לוגיקת הקוד

ניתוח אבטחה

84/100

ציון אמון

איכות קוד76

הרשאות85

טיפול בנתונים85

מוניטין המפרסם72

תחזוקה100

תיעוד100

עבר בדיקות אבטחהv13/15/2026

בדיקות שבוצעו

Snyk Agent Scan

Cisco Skill Scanner

אימות מפרט סקיל

ניתוח הרשאות כלים

סריקת תבניות מסוכנות

אימות מאגר GitHub

הערכת איכות קוד

בדיקת פעילות תחזוקה

אימות רישיון

גורמי סיכון

הרצת סקריפטים

הסקיל יכול להריץ סקריפטים ופקודות על המערכת שלך.

נמצאו 1 התאמות בקוד

גישה למשתני סביבה

הסקיל יכול לגשת למשתני סביבה שעלולים להכיל סודות.

נמצאו 10 התאמות בקוד

התקנות לפי סוכן

Claude Code1

צפייה ב-GitHub דיווח על בעיה

שאלות נפוצות

סקילס קשורים

תאימות חוקית למסחר אלקטרוני ישראלי

יוצר: skills-il

אמין85/100

ביקורת תאימות חוקית לחנויות מקוונות ישראליות — חוק הגנת הצרכן, מדיניות החזרות, נגישות ועוגיות

0.02303

Claude CodeCursorGitHub Copilot+5

רגולציית סייבר ישראלית

יוצר: skills-il

אמין76/100

חדש

מסגרת רגולציית סייבר ישראלית — הנחיות מערך הסייבר הלאומי, הוראות בנק ישראל 361 ו-357, דרישות רשות ניירות ערך, וכללים מגזריים לפינטק ובריאות

0.0299

Claude CodeCursorGitHub Copilot+4

מגן פרטיות ישראלי

יוצר: skills-il

אמין76/100

בדיקת תאימות לחוק הגנת הפרטיות ולתקנות GDPR

0.02310

Claude CodeCursorGitHub Copilot+4

רוצים לבנות סקיל משלכם? נסו את יוצר הסקילס · הגשת סקיל

ביקורות (0)

אין ביקורות עדיין. כתבו את הביקורת הראשונה!

סורק אבטחת אפליקציות ישראלי

אמין84/100

הבעיה

יוצר: @skills-il

0.0 (0 ביקורות)1 התקנות5 צפיותאבטחה ותאימות

npx skills-il add skills-il/security-compliance --skill israeli-appsec-scanner

מתי להשתמש

כשרוצים לבצע סריקת אבטחה מקיפה לאפליקציה ישראלית
כשצריך לוודא עמידה בדרישות חוק הגנת הפרטיות ותקנות 2017
כשרוצים לזהות דליפת מפתחות API של שירותים ישראליים כמו Cardcom או Tranzila
כשבודקים אפליקציה עם קלט בעברית נגד התקפות XSS ו-SQL injection
כשמכינים אפליקציה לביקורת SOC 2 או PCI DSS

סורק אבטחת אפליקציות ישראלי

רשימת בדיקות OWASP Top 10 (בהקשר ישראלי)

עברו על כל קטגוריה בשיטתיות. לכל ממצא, סמנו רמת חומרה (קריטי/גבוה/בינוני/נמוך) ותנו המלצת תיקון.

A01: בעיות בבקרת גישה

וודאו שכל נקודות ה-API דורשות אימות (בדקו middleware של Next.js, guards של NestJS)
ודאו שבקרת גישה מבוססת תפקידים מכסה admin, user ואנונימי
בדקו שנתיבי URL בעברית לא יכולים לעקוף הרשאות מבוססות ניתוב
חפשו IDOR על משאבים שגלויים למשתמשים
ודאו שהגדרות CORS מגבילות את ה-origins לדומיינים הישראליים הצפויים
וודאו שטוקני JWT נבדקים בצד השרת, לא רק בצד הלקוח
בדקו directory traversal עם קטעי נתיב מקודדים בעברית (%D7%90 וכו')

A02: כשלים קריפטוגרפיים

ודאו TLS 1.2+ על כל החיבורים (ספקי אחסון ישראליים לפעמים משתמשים בגרסאות ישנות כברירת מחדל)
בדקו שסיסמאות מוצפנות עם bcrypt/argon2 (לא MD5/SHA1)
ודאו שמספרי תעודת זהות מוצפנים ב-rest
ודאו שנתוני כרטיסי אשראי לא נשמרים מקומית (דרישת PCI DSS)
בדקו שמפתחות service role של Supabase לא חשופים ללקוח
ודאו שטוקנים של שערי תשלום ישראליים (קארדקום, טרנזילה) מאוחסנים בצורה מאובטחת

A03: הזרקות (Injection)

בדקו SQL injection עם טקסט בעברית ('; DROP TABLE -- עם תווים בעברית)
ודאו שימוש ב-parameterized queries לכל פעולות מסד הנתונים עם טקסט עברי
בדקו NoSQL injection בשאילתות MongoDB (נפוץ בסטארטאפים ישראליים שמשתמשים ב-MEAN stack)
בדקו command injection דרך שמות קבצים שמכילים תווים בעברית
ודאו הגנה מפני LDAP injection אם יש אינטגרציה עם ספריות ארגוניות ישראליות
בדקו template injection בתבניות אימייל עם תוכן בעברית

A04: תכנון לא מאובטח

ודאו rate limiting על נקודות קצה של שערי SMS ישראליים (מניעת הצפה ב-OTP)
חפשו פגמים בלוגיקה העסקית בתהליכי תשלום ישראליים
ודאו שטפסים מרובי שלבים (נפוצים באינטגרציות עם שירותי ממשלה) שומרים state בצורה מאובטחת
ודאו שמגבלות אורך קלט בעברית מתחשבות בתווי UTF-8 מרובי בתים

A05: תצורה לא מאובטחת

בדקו כותרות HTTP של אבטחה (CSP, X-Frame-Options, HSTS)
ודאו שדפי שגיאה לא חושפים stack traces או הודעות דיבאג בעברית
ודאו שסיסמאות ברירת מחדל הוחלפו בכל השירותים
בדקו שקבוצות אבטחה של ספקי ענן ישראליים (AWS IL region, GCP) מוגדרות כראוי
ודאו שמדיניות RLS של Supabase מופעלת על כל הטבלאות
ודאו שקבצי .env עם credentials של שירותים ישראליים נמצאים ב-.gitignore

A06: רכיבים פגיעים ומיושנים

הריצו npm audit או pnpm audit וטפלו בממצאים קריטיים/גבוהים
חפשו פגיעויות ידועות בספריות ספציפיות לעברית (hebrew-date, מעבדי טקסט דו-כיווני)
ודאו שתמונות בסיס של קונטיינרים מעודכנות (השתמשו ב-trivy image)
בדקו גרסאות מיושנות של SDK של שערי תשלום ישראליים

A07: כשלי זיהוי ואימות

ודאו ולידציה של פורמט מספר טלפון ישראלי (+972) בתהליכי אימות
בדקו שקודי OTP למספרים ישראליים פגים אחרי 5 דקות לכל היותר
בדקו שמדיניות סיסמאות תומכת בתווים בעברית
ודאו ניהול סשנים תקין אחרי אימות עם ספקי OAuth ישראליים
בדקו הגנה מפני credential stuffing על נקודות קצה של התחברות

A08: כשלי שלמות תוכנה ונתונים

ודאו שלמות חבילות npm עם ולידציית lockfile
בדקו אבטחת pipeline של CI/CD (GitHub Actions, Vercel deployment hooks)
ודאו שוובהוקים של שירותים ישראליים צד שלישי מאומתים (ולידציית חתימה)
ודאו Subresource Integrity (SRI) לסקריפטים חיצוניים

A09: כשלי לוגים וניטור

ודאו שאירועי אימות נרשמים (התחברות, התנתקות, ניסיונות כושלים)
בדקו שלוגים קולטים טקסט בעברית נכון (קידוד UTF-8)
ודאו שנתיבי ביקורת שנדרשים על ידי רשות הגנת הפרטיות מתוחזקים לגישה למידע אישי
ודאו שאחסון לוגים עומד בדרישות שמירת מידע של החוק הישראלי

A10: זיוף בקשות בצד השרת (SSRF)

ודאו ולידציית URL עבור כתובות שהמשתמש מספק (חסימת טווחי רשת פנימיים)
בדקו שאינטגרציות עם ממשקי API ממשלתיים ישראליים מוודאים URL-ים של הפניות
בדקו SSRF דרך URL-ים מקודדים בעברית ותקיפות IDN homograph

עמידה בדרישות רשות הגנת הפרטיות

חוק הגנת הפרטיות (1981) והתקנות שלו מטילים דרישות ספציפיות על אפליקציות שמטפלות במידע אישי של תושבי ישראל.

רישום מאגרי מידע

על פי החוק הישראלי, מאגרי מידע מסוימים שמכילים מידע אישי חייבים להירשם ברשות:

בדקו חובת רישום: מאגרים עם 10,000+ רשומות, או שמכילים מידע רגיש (רפואי, פיננסי, ביומטרי), או שמשמשים לדיוור ישיר, חייבים רישום
שדות רישום: שם המאגר, מטרה, קטגוריות מידע, אמצעי אבטחה, מעבדי מידע, העברות חוצות גבולות
חידוש שנתי: הרישום חייב להתחדש מדי שנה
פטורים: מאגרים שמשמשים אך ורק לניהול יחסי עובד-מעביד (בתנאים מסוימים)

דרישות הגנת מידע

רשימת בדיקות: עמידה בחוק הגנת הפרטיות

[ ] הסכמה: קבלו הסכמה מדעת לפני איסוף מידע אישי
    - ההסכמה חייבת להיות ספציפית, מושכלת וחופשית
    - טקסט ההסכמה בעברית חייב להיות ברור ומובן
    - הסכמה נפרדת למטרות עיבוד שונות

[ ] הגבלת מטרה: שימוש במידע רק למטרה המוצהרת
    - תעדו את המטרה במדיניות הפרטיות (עברית + אנגלית)
    - אל תשנו ייעוד מידע ללא הסכמה מחודשת

[ ] מזעור מידע: אספו רק מידע הכרחי
    - בדקו כל שדה בטופס מבחינת הכרחיות
    - מספרי תעודת זהות יש לאסוף רק כשיש חובה חוקית

[ ] אמצעי אבטחה: יישמו אמצעים טכניים מתאימים
    - עקבו אחרי "תקנות אבטחת מידע" (2017) של הרשות
    - בצעו הערכות אבטחה שנתיות
    - שמרו לוגים של גישות למשך 24 חודשים לפחות

[ ] זכויות נושאי מידע: תמכו בבקשות גישה, תיקון ומחיקה
    - הגיבו תוך 30 יום לבקשות גישה למידע
    - ספקו מידע בפורמט מובנה וקריא מכונה
    - תמיכה בעברית לכל התקשורת עם נושאי מידע

[ ] הודעה על אירוע אבטחה: הודיעו לרשות ולנפגעים
    - "אירוע אבטחה חמור" חייב דיווח לרשות
    - ההודעה צריכה להיות בעברית לתושבי ישראל
    - תעדו את כל האירועים ושלבי התיקון

העברת מידע חוצת גבולות

החוק הישראלי מגביל העברת מידע אישי מחוץ לישראל. ההעברה מותרת כאשר:

למדינת היעד רמת הגנה נאותה (מדינות האיחוד האירופי, מוכרות על ידי הרשות)
נושא המידע הסכים להעברה
ההעברה דרושה לקיום חוזה
קיימים ערובות חוזיות מתאימות (סעיפים חוזיים סטנדרטיים)

תרחישים נפוצים באפליקציות ישראליות:

אחסון בענן ב-AWS/GCP: ודאו שיש הסכם עיבוד מידע
שימוש בכלי SaaS אמריקאיים: ודאו ערובות חוזיות
שירותי אנליטיקה: שקלו אנונימיזציה של מידע לפני ההעברה

סריקת תלויות

npm/pnpm audit

# הרצת סריקת פגיעויות
pnpm audit

# תיקון אוטומטי היכן שאפשר
pnpm audit --fix

# יצירת דוח JSON מפורט
pnpm audit --json > audit-report.json

# בדיקה לפי רמת חומרה
pnpm audit --audit-level=high

סריקת קונטיינרים עם Trivy

# סריקת תמונת Docker
trivy image your-app:latest

# סריקה עם סינון חומרה
trivy image --severity HIGH,CRITICAL your-app:latest

# סריקת מערכת קבצים (לפרויקטים מקומיים)
trivy fs --security-checks vuln,secret,config .

סריקת תלויות Python

# שימוש ב-pip-audit
pip-audit

# עם הצעות תיקון
pip-audit --fix --dry-run

# סריקת קובץ requirements
pip-audit -r requirements.txt

זיהוי סודות

סריקת credentials של שירותים ישראליים

אפליקציות ישראליות משתמשות בדרך כלל ב-credentials של שירותים שלעולם לא צריכים להיכנס ל-version control:

שערי תשלום ישראליים:

קארדקום: מספרי מסוף, שמות משתמש API, קודי פעולה
טרנזילה: קודי ספק, סיסמאות מסוף
PayMe: מזהי מוכר, מפתחות API
משולם: קודי עמוד, מפתחות API

שירותים ישראליים:

מפתחות API של דואר ישראל
credentials של ממשקי API בנקאיים (פועלים, לאומי, דיסקונט, מזרחי)
טוקנים של Gov.il API
מפתחות API של שערי SMS ישראליים (019, Cellact, InforUMobile)

שימוש ב-TruffleHog

# סריקת היסטוריית git
trufflehog git file://. --only-verified

# סריקת ענף ספציפי
trufflehog git file://. --branch main --only-verified

# סריקה עם פלט JSON
trufflehog git file://. --json > secrets-report.json

שימוש ב-Gitleaks

# סריקת מאגר
gitleaks detect --source . --verbose

# סריקה עם קונפיגורציה מותאמת לשירותים ישראליים
gitleaks detect --source . --config .gitleaks.toml

# יצירת דוח
gitleaks detect --source . --report-format json --report-path gitleaks-report.json

אבטחה ספציפית לעברית/RTL

תקיפות טקסט דו-כיווני (Trojan Source)

תווים מסוכנים לזהות:

U+202A (Left-to-Right Embedding)
U+202B (Right-to-Left Embedding)
U+202E (Right-to-Left Override)
U+2066 עד U+2069 (Isolate characters)

מניעה: הריצו את סקריפט הזיהוי שנמצא ב-scripts/security-audit-checklist.py כדי לסרוק קבצי קוד לתווים דו-כיווניים חבויים.

תקיפות הומוגליף בעברית

תווים עבריים מסוימים דומים ויזואלית לתווים לטיניים, מה שמאפשר פישינג וזיוף:

עברית	דומה ללטינית	Unicode
ס (סמך)	o	U+05E1
ו (וו)	l, 1	U+05D5
ח (חת)	n	U+05D7
ן (נון סופית)	l	U+05DF

ולידציית קלט בעברית

// ולידציה לקלט בעברית בלבד
const HEBREW_PATTERN = /^[\u0590-\u05FF\s\-'".,:;!?()]+$/;

// ולידציה לקלט מעורב עברית/אנגלית
const MIXED_PATTERN = /^[\u0590-\u05FFa-zA-Z0-9\s\-'".,:;!?()@#$%&*]+$/;

// ולידציית מספר טלפון ישראלי
const IL_PHONE_PATTERN = /^(\+972|0)(5[0-9]|7[2-9])\d{7}$/;

// ולידציית מספר תעודת זהות עם ספרת ביקורת
function validateIsraeliId(id) {
  if (!/^\d{9}$/.test(id)) return false;
  let sum = 0;
  for (let i = 0; i < 9; i++) {
    let digit = parseInt(id[i]) * ((i % 2) + 1);
    if (digit > 9) digit -= 9;
    sum += digit;
  }
  return sum % 10 === 0;
}

דפוסי קוד מאובטח

שאילתות עם פרמטרים לטקסט עברי

// נכון: שאילתה עם פרמטרים (מאובטח)
const { data, error } = await supabase
  .from('skills')
  .select('*')
  .ilike('name_he', `%${searchTerm}%`);

// לא נכון: שרשור מחרוזות (פגיע ל-SQL injection)
// const query = `SELECT * FROM skills WHERE name_he LIKE '%${searchTerm}%'`;

הגנת CSRF לטפסי תשלום ישראליים

import { randomBytes } from 'crypto';

function generateCsrfToken(): string {
  return randomBytes(32).toString('hex');
}

function validateCsrfToken(session: string, submitted: string): boolean {
  return session === submitted && session.length === 64;
}

הגבלת קצב לשערי SMS ישראליים

// הגבלת בקשות OTP למניעת ניצול לרעה
// SMS ישראלי עולה בערך 0.05-0.15 שקלים להודעה
const OTP_LIMITS = {
  perPhone: { max: 3, windowMs: 15 * 60 * 1000 },    // 3 ב-15 דקות לטלפון
  perIp: { max: 10, windowMs: 60 * 60 * 1000 },       // 10 בשעה ל-IP
  global: { max: 1000, windowMs: 60 * 60 * 1000 },    // 1000 בשעה גלובלי
};

רשימת בדיקות ציות

חוק הגנת הפרטיות הישראלי

דרישה	חוק ישראלי	מקבילה ב-GDPR	סטטוס
בסיס חוקי לעיבוד	סעיף 1, חה"פ	סעיף 6 GDPR	[ ]
דרישות הסכמה	סעיף 11, חה"פ	סעיף 7 GDPR	[ ]
זכות גישה	סעיף 13, חה"פ	סעיף 15 GDPR	[ ]
זכות תיקון	סעיף 14, חה"פ	סעיף 16 GDPR	[ ]
זכות מחיקה	סעיף 14א, חה"פ	סעיף 17 GDPR	[ ]
אמצעי אבטחה	תקנות 2017	סעיף 32 GDPR	[ ]
הודעה על אירוע	תקנה 11א	סעיפים 33-34 GDPR	[ ]
העברה חוצת גבולות	סעיף 36, חה"פ	סעיפים 44-49 GDPR	[ ]
רישום מאגר	סעיף 8, חה"פ	סעיף 30 GDPR (ROPA)	[ ]

PCI DSS לעיבוד תשלומים ישראלי

אם האפליקציה שלכם מעבדת כרטיסי אשראי ישראליים (ישראכרט, לאומי קארד, כאל):

קביעת רמה: על בסיס נפח עסקאות שנתי
בחירת SAQ: רוב האפליקציות הישראליות מתאימות ל-SAQ A או SAQ A-EP
ספציפי לישראל:
- לשב"א (מערכת הסליקה הישראלית) יש דרישות אבטחה משלה
- מספרי כרטיסי אשראי ישראליים עוקבים אחרי אלגוריתם Luhn הסטנדרטי
- הוראת קבע דורשת תיעוד הסכמה נוסף

הרצת ביקורת האבטחה

השתמשו בסקריפטים המצורפים לבדיקות אוטומטיות:

# הרצת רשימת בדיקות אבטחה מלאה
python scripts/security-audit-checklist.py --project-dir /path/to/project

# סריקה לאיתור credentials של שירותים ישראליים
bash scripts/secrets-scanner.sh /path/to/project

# יצירת דוח ציות
python scripts/security-audit-checklist.py --project-dir /path/to/project --format json > report.json

עיינו בתיקיית references/ למידע מפורט על חוק הגנת הפרטיות ושיקולי OWASP לאפליקציות עברית/RTL.

מטא-נתונים

יוצר:skills-il

GitHub:israeli-appsec-scanner

התקנות:1

צפיות:5

ביקורות:0 (0.0)

נוצר:15 במרץ 2026

עודכן:15 במרץ 2026

סוכנים נתמכים

Claude CodeCursorGitHub CopilotWindsurfOpenCodeCodex

תגיות

אבטחת מידעסריקת פגיעויותOWASPפרטיותהגנת סייברישראל

שיטות עבודה מומלצות

סרקו תמיד נגד תווי Unicode דו-כיווניים (Trojan Source) בקוד עם טקסט בעברית
השתמשו ב-parameterized queries גם בשאילתות עם טקסט עברי, לעולם לא בניית מחרוזת ידנית
הגבילו קצב SMS OTP לשערי SMS ישראליים כדי למנוע ניצול
בדקו .gitignore עבור קבצי .env שמכילים מפתחות של שירותים ישראליים
רשמו מאגרי מידע ברשות הגנת הפרטיות אם אתם מעבדים מידע רגיש

נסו את הפרומפטים האלה

סריקת אבטחה מלאה

בצע סריקת אבטחה מלאה של האפליקציה שלי לפי OWASP Top 10 עם דגש על קלט בעברית ותקיפות RTL

בדיקת דליפת סודות

סרוק את הפרויקט שלי לדליפת מפתחות API של שירותים ישראליים כמו Cardcom, Tranzila, ו-Supabase

בדיקת עמידה בחוק הפרטיות

בדוק האם האפליקציה שלי עומדת בדרישות חוק הגנת הפרטיות הישראלי ותקנות אבטחת מידע 2017

הגנה מפני Trojan Source

סרוק את הקוד שלי לתווי Unicode דו-כיווניים מוסתרים שעלולים לשנות את לוגיקת הקוד

ניתוח אבטחה

84/100

ציון אמון

איכות קוד76

הרשאות85

טיפול בנתונים85

מוניטין המפרסם72

תחזוקה100

תיעוד100

עבר בדיקות אבטחהv13/15/2026

בדיקות שבוצעו

Snyk Agent Scan

Cisco Skill Scanner

אימות מפרט סקיל

ניתוח הרשאות כלים

סריקת תבניות מסוכנות

אימות מאגר GitHub

הערכת איכות קוד

בדיקת פעילות תחזוקה

אימות רישיון

גורמי סיכון

הרצת סקריפטים

הסקיל יכול להריץ סקריפטים ופקודות על המערכת שלך.

נמצאו 1 התאמות בקוד

גישה למשתני סביבה

הסקיל יכול לגשת למשתני סביבה שעלולים להכיל סודות.

נמצאו 10 התאמות בקוד

התקנות לפי סוכן

Claude Code1

צפייה ב-GitHub דיווח על בעיה

שאלות נפוצות

סקילס קשורים

תאימות חוקית למסחר אלקטרוני ישראלי

יוצר: skills-il

אמין85/100

ביקורת תאימות חוקית לחנויות מקוונות ישראליות — חוק הגנת הצרכן, מדיניות החזרות, נגישות ועוגיות

0.02303

Claude CodeCursorGitHub Copilot+5

רגולציית סייבר ישראלית

יוצר: skills-il

אמין76/100

חדש

0.0299

Claude CodeCursorGitHub Copilot+4

מגן פרטיות ישראלי

יוצר: skills-il

אמין76/100

בדיקת תאימות לחוק הגנת הפרטיות ולתקנות GDPR

0.02310

Claude CodeCursorGitHub Copilot+4

רוצים לבנות סקיל משלכם? נסו את יוצר הסקילס · הגשת סקיל

ביקורות (0)

אין ביקורות עדיין. כתבו את הביקורת הראשונה!