در این چالش شما با یک سناریوی آزمایشگاهی در حوزه Client‑Side Security روبهرو هستید که بر بررسی نحوه مدیریت منابع و مسیرهای سمت مرورگر تمرکز دارد. هدف این محیط آزمایشگاهی نشان دادن این موضوع است که در برخی برنامههای وب مدرن، بخش قابل توجهی از منطق رابط کاربری در سمت کلاینت اجرا میشود و همین موضوع میتواند در صورت طراحی نادرست به سطح حمله جدیدی تبدیل شود.
در ابتدای کار، شرکتکننده با یک برنامه وب روبهرو میشود که رابط کاربری آن بر اساس یک manifest سمت کلاینت و مجموعهای از widgetها ساخته شده است. این برنامه از مکانیزمهای مسیریابی مبتنی بر مرورگر استفاده میکند و وضعیت رابط کاربری از طریق پارامترهای موجود در URL مدیریت میشود. به همین دلیل بررسی دقیق نحوه تفسیر این پارامترها توسط JavaScript برنامه و تأثیر آنها بر انتخاب منابع بارگذاریشده از اهمیت زیادی برخوردار است.
در طول این سناریو لازم است ساختار برنامه، فایلهای JavaScript، و نحوه دریافت manifest مربوط به رابط کاربری بررسی شود. manifest مشخص میکند که هر بخش از برنامه از چه نوع widget یا منبعی استفاده میکند و مرورگر برای نمایش هر view چه assetهایی را بارگذاری خواهد کرد. تحلیل این ساختار میتواند سرنخهای مهمی درباره نحوه تصمیمگیری برنامه در زمان اجرای سمت کلاینت ارائه دهد.
همچنین در این محیط آزمایشگاهی برخی پروفایلها و حالتهای تست برای اهداف QA یا بررسیهای داخلی در نظر گرفته شدهاند. این حالتها ممکن است مسیرهای متفاوتی برای بارگذاری منابع یا اجرای widgetها فراهم کنند. بررسی دقیق این رفتارها، همراه با تحلیل سورس کد برنامه، میتواند به درک بهتر نحوه مدیریت منابع در سمت مرورگر کمک کند.
یکی از مفاهیم کلیدی این چالش، بررسی نحوه تعامل routeهای سمت کلاینت، manifestهای رابط کاربری و منابع بارگذاریشده در مرورگر است. در بسیاری از برنامهها، برخی از این مقادیر مستقیماً از دادههایی که توسط کاربر در URL یا محیط مرورگر کنترل میشوند استخراج میشوند. در چنین شرایطی، تحلیل نحوه استفاده برنامه از این دادهها میتواند در شناسایی رفتارهای ناامن یا تصمیمگیریهای اشتباه در زمان انتخاب منابع مؤثر باشد.
این سناریو با هدف آشنایی با ریسکهای مرتبط با Client‑Side Resource Manipulation طراحی شده است؛ مفهومی که نشان میدهد اگر یک برنامه وب به منابعی که توسط کلاینت مشخص میشوند اعتماد کند، ممکن است امکان بارگذاری یا اجرای منابع غیرمنتظره در محیط مرورگر فراهم شود. بررسی دقیق نحوه انتخاب و بارگذاری این منابع، درک عمیقتری از تهدیدات مربوط به منطق سمت کلاینت در برنامههای وب ارائه میدهد.
همچنین جهت دسترسی به صفحه مربوط به آزمایشگاه WSTG می توانید به لینک زیر مراجعه نمایید:
درصد پیشرفت حل چالش
0%
