در این چالش با یک سناریوی آزمایشگاهی در حوزه Authorization و کنترل دسترسی در یک سامانه داخلی روبهرو هستید. برنامه مورد بررسی یک پنل عملیاتی سازمانی است که کاربران با نقشهای مختلف به آن دسترسی دارند و هدف اصلی چالش، ارزیابی نحوه اعمال مجوزها در سمت سرور است.
شما باید بررسی کنید که آیا محدودیتهای ظاهری رابط کاربری واقعاً با کنترلهای امنیتی مناسب در backend پشتیبانی میشوند یا خیر.
در طول چالش، لازم است رفتار برنامه را از دید یک کاربر عادی تحلیل کنید، مسیرهای قابل مشاهده را بررسی کرده و نحوه ارجاع برنامه به منابع مختلف را مورد توجه قرار دهید. برخی بخشهای برنامه از مسیرها و ساختارهای قدیمی استفاده میکنند و همین موضوع میتواند زمینهساز خطاهای رایج در کنترل دسترسی باشد.
تمرکز شما باید روی این باشد که آیا دسترسی به دادهها و قابلیتها صرفاً بر اساس نمایش یا عدم نمایش در رابط کاربری کنترل شده، یا سرور نیز برای هر درخواست اعتبارسنجی مجوز انجام میدهد.
این چالش بهصورت مرحلهای طراحی شده و از شما انتظار میرود با تحلیل دقیق URLها، پارامترها، شناسههای منابع و رفتار endpointها، نقاط ضعف احتمالی را شناسایی کنید.
هدف، درک عملی آسیبپذیریهایی مانند Insecure Direct Object Reference و Authorization Bypass است؛ آسیبپذیریهایی که زمانی رخ میدهند که برنامه اجازه دسترسی به منابع یا عملکردهایی را میدهد که کاربر نباید مجاز به مشاهده یا استفاده از آنها باشد.
برای حل چالش، باید با دقت سرنخهای موجود در صفحات برنامه را بررسی کرده، تفاوت بین محدودیتهای سمت کاربر و کنترلهای واقعی سمت سرور را تشخیص دهید و نشان دهید که چرا مخفی کردن لینکها یا گزینههای منو بهتنهایی یک مکانیزم امنیتی محسوب نمیشود. این تمرین به شما کمک میکند اهمیت اعمال کنترل دسترسی در سطح هر منبع و هر عملکرد را بهصورت عملی درک کنید.
همچنین جهت دسترسی به صفحه مربوط به آزمایشگاه WSTG می توانید به لینک زیر مراجعه نمایید:
درصد پیشرفت حل چالش
0%
