شما با یک چالش امنیتی در بستر یک سامانهی شبیهسازیشدهی Apex Pulse / APIT روبهرو هستید؛ سامانهای که برای مدیریت و مسیریابی دادههای مربوط به رخدادهای امنیتی طراحی شده و از یک GraphQL Gateway بهعنوان نقطهی اصلی ارتباط استفاده میکند.
هدف این چالش، بررسی سطح حملهی یک API مدرن و شناسایی ضعفهایی است که ممکن است در زمان مهاجرت از معماریهای قدیمی به ساختارهای جدید باقی مانده باشند.
در این سناریو، لازم است ابتدا سرویسهای در دسترس را شناسایی کرده، نام دامنهی داخلی سامانه را بهدرستی resolve کنید و سپس بخشهای مختلف رابط وب و کنسول GraphQL را بررسی نمایید.
در طول مسیر، سرنخهایی دربارهی وضعیت gateway، قابلیتهای فعال، resolverهای در دسترس و اجزای قدیمی سیستم در اختیار شما قرار میگیرد که باید با دقت تحلیل شوند.
تمرکز اصلی چالش روی مفاهیمی مانند GraphQL Introspection، کنترل دسترسی در سطح objectها، مدیریت توکنهای احراز هویت، و تعامل ناامن میان GraphQL و لایهی پایگاه داده است.
شرکتکننده باید بتواند با استفاده از درخواستهای ساختاریافته، schema و قابلیتهای API را بررسی کرده و رفتار resolverهای مختلف را از منظر امنیتی ارزیابی کند.
این چالش برای تقویت مهارتهای عملی در حوزهی API Security طراحی شده است و از شما انتظار میرود با رویکرد مرحلهبهمرحله، رفتار برنامه را تحلیل کرده، نقاط ضعف منطقی و پیادهسازی را شناسایی کنید و در نهایت مسیرهای احتمالی سوءاستفاده از تنظیمات نادرست، دسترسیهای ناکافی و ورودیهای کنترلنشده را کشف نمایید.
همچنین جهت دسترسی به صفحه مربوط به آزمایشگاه WSTG می توانید به لینک زیر مراجعه نمایید:
درصد پیشرفت حل چالش
0%
