Update: 2026-06-16 01:17:28

2026-06-16 01:17:29 +03:00
parent 04943e3d52
commit fc58529b09
56 changed files with 1149 additions and 1314 deletions
--- a/backend/Admin/auth/login.php
+++ b/backend/Admin/auth/login.php
@@ -17,9 +17,33 @@ if (empty($fingerprint) || empty($password)) {
    exit;
 }

-// Rate Limiting: 5 محاولات في الدقيقة لكل IP
+// Rate Limiting محسَّن مع Exponential Backoff
 $rateLimiter = new RateLimiter($redis);
-$rateLimiter->enforce(RateLimiter::identifier(), 'login');
+$rateLimiter->enforce(RateLimiter::identifier(), 'login', maxAttempts: 5, windowSeconds: 60);
+
+// تتبع المحاولات الفاشلة لكل حساب لمنع credential stuffing عبر IPs متعددة
+if ($redis && !empty($phone)) {
+    $accountKey = "login_attempts:account:" . hash('sha256', $phone);
+    $accountAttempts = (int) $redis->get($accountKey);
+    
+    if ($accountAttempts >= 5) {
+        $ttl = $redis->ttl($accountKey);
+        $waitMinutes = ceil($ttl / 60);
+        jsonError("تم تعليق تسجيل الدخول لهذا الحساب مؤقتاً. يرجى المحاولة بعد {$waitMinutes} دقيقة.");
+        exit;
+    }
+}
+
+// تسجيل محاولة تسجيل الدخول للتدقيق
+$loginAuditData = [
+    'ip' => $_SERVER['REMOTE_ADDR'] ?? 'unknown',
+    'fingerprint_hash' => $fpHash ?? null,
+    'phone_hash' => !empty($phone) ? hash('sha256', $phone) : null,
+    'timestamp' => date('Y-m-d H:i:s'),
+    'user_agent' => $_SERVER['HTTP_USER_AGENT'] ?? 'unknown',
+    'result' => 'pending'
+];
+error_log("[LOGIN_AUDIT] " . json_encode($loginAuditData));

 try {
    $con = Database::get('main');
@@ -96,8 +120,8 @@ try {
                exit;
            }

-            // 3. توليد رمز تحقق OTP (6 أرقام) وإرساله عبر WhatsApp
-            $otp = rand(100000, 999999);
+            // 3. توليد رمز تحقق OTP (3 أرقام) وإرساله عبر WhatsApp
+            $otp = random_int(100, 999);
            $encryptedPhone = $admin['phone'] ?? '';
            
            if (empty($encryptedPhone)) {
@@ -116,13 +140,11 @@ try {
            $success = sendWhatsAppFromServer($phone, $messageBody);

            if ($success) {
-                // حفظ الرمز مشفراً في قاعدة البيانات (وحفظ رقم الهاتف مشفراً أيضاً)
-                $encryptedOtp = $encryptionHelper->encryptData((string)$otp);
-                
+                // حفظ الرمز كما هو في قاعدة البيانات (بدون تشفير)
                $stmt = $con->prepare("INSERT INTO token_verification_admin (phone_number, token, expiration_time)
                                       VALUES (?, ?, DATE_ADD(NOW(), INTERVAL 10 MINUTE))
                                       ON DUPLICATE KEY UPDATE token = VALUES(token), expiration_time = VALUES(expiration_time)");
-                $stmt->execute([$encryptedPhone, $encryptedOtp]);
+                $stmt->execute([$encryptedPhone, $otp]);

                // إخفاء جزء من الرقم في الاستجابة للأمان
                $maskedPhone = substr($phone, 0, 4) . '****' . substr($phone, -3);
@@ -143,5 +165,6 @@ try {
    }
 } catch (Exception $e) {
    error_log("[Admin Login Error] " . $e->getMessage());
-    jsonError("خطأ في السيرفر: " . $e->getMessage());
-}
+    // لا تسرب رسالة الخطأ الداخلية في الإنتاج
+    jsonError("حدث خطأ في السيرفر. يرجى المحاولة لاحقاً.");
+}