در این چالش، شما با یک سامانه عملیاتی تحت عنوان RedFrame Operations روبرو هستید. این سامانه شامل یک پنل مدیریتی برای بررسی و تأیید درخواستهای صدور اطلاعات حساس (Data Export) است.
هدف از این چالش، ارزیابی امنیت برنامه در برابر آسیبپذیریهای مرتبط با کنترل قاببندی (Framing) و حملات UI Redressing / Clickjacking بر اساس متدولوژیهای امنیتی مدرن است.
شما به عنوان یک کارشناس امنیت، وظیفه دارید مکانیزمهای دفاعی برنامه را در برابر قرارگیری در داخل فریمهای خارجی (Frames) بسنجید و بررسی کنید که آیا عملکردهای حساس سیستم از این طریق قابل بهرهبرداری و فریب کاربر هستند یا خیر.
هدف شما در این چالش
در این سناریو، شما باید اقدامات زیر را انجام دهید:
✔️ کشف و شناسایی: بررسی داراییهای فرانتاند (Front-end Assets) برنامه و کدهای جاوااسکریپت برای پیدا کردن ویجتها و مسیرهای حساس و پنهان.
✔️ ارزیابی قاببندی (Framing Analysis): سنجش رفتار ویجتهای حساس در زمان بارگذاری مستقیم در مقایسه با بارگذاری در محیطهای قاببندیشده (iframe).
✔️ اعتبارسنجی هدرهای امنیتی: بررسی وجود یا عدم وجود سیاستهای محافظتی مانند X-Frame-Options یا قوانین Content-Security-Policy (CSP) frame-ancestors در پاسخهای سرور.
✔️ شبیهسازی سناریوی حمله: ارزیابی اینکه آیا یک مهاجم میتواند کاربر را به انجام یک اقدام حساس (مانند تأیید یک درخواست) از داخل یک فریم شبیهسازیشده ترغیب کند یا خیر.
همچنین جهت دسترسی به صفحه مربوط به آزمایشگاه WSTG می توانید به لینک زیر مراجعه نمایید:
درصد پیشرفت حل چالش
0%
