در این چالش با یک سناریوی آموزشی در حوزه کنترل دسترسی و اعتبارسنجی سمت سرور روبهرو هستید. هدف اصلی، بررسی رفتار یک سامانه تحت وب است که بخشهایی از منطق دسترسی، مسیرها و اطلاعات عملیاتی خود را از طریق رابط کاربری و فایلهای سمت کلاینت در اختیار کاربر قرار میدهد.
شما باید با تحلیل دقیق صفحات، درخواستهای HTTP، فایلهای JavaScript و سرنخهای موجود در محیط، تفاوت میان محدودیتهای ظاهری رابط کاربری و کنترل دسترسی واقعی در سمت سرور را شناسایی کنید.
تمرکز چالش بر روی مفاهیمی مانند دستکاری پارامترهای ارسالی، اعتماد نادرست به دادههای سمت کلاینت، کنترل دسترسی مبتنی بر نقش و ضعف در اعتبارسنجی مجوزها است.
شما باید مسیرهای عادی برنامه را بررسی کرده، ساختار درخواستها را درک کند و سپس رفتار سامانه را در برابر تغییر مقادیر حساس مانند شناسه پرونده، گروه کاربری یا پروفایل دسترسی ارزیابی نمایید. این فرایند به درک بهتر آسیبپذیریهایی مانند Broken Access Control و Privilege Escalation کمک میکند.
برای حل این چالش لازم است از ابزارهای پایه تحلیل وب مانند مرورگر، مشاهده سورس صفحات، بررسی فایلهای عمومی، تحلیل درخواستها و ارسال درخواستهای دستی استفاده شود. مسیر چالش بهگونهای طراحی شده است که سرنخها بهتدریج در اختیار کاربر قرار میگیرند و هر مرحله زمینهساز مرحله بعدی است.
هدف نهایی، درک این نکته است که مخفیکردن گزینهها در رابط کاربری یا اعتماد به مقادیر ارسالشده از سمت کاربر، جایگزین کنترل دسترسی امن و اعتبارسنجی سمت سرور نیست.
همچنین جهت دسترسی به صفحه مربوط به آزمایشگاه WSTG می توانید به لینک زیر مراجعه نمایید:
درصد پیشرفت حل چالش
0%
