در این چالش شما با یک سامانه پشتیبانی داخلی به نام RedLine Support Bridge روبرو هستید. این سیستم برای ارتباط میان کنسول عملیات و ویجتهای پشتیبانی که در وبسایتهای شرکای تجاری قرار میگیرند طراحی شده است.
برای تبادل اطلاعات بین این مؤلفهها، برنامه از Web Messaging (postMessage) و ارتباط میان iframeها و پنجرههای مرورگر استفاده میکند.
هدف این سناریو بررسی امنیت پیادهسازی ارتباطات Cross‑Document Messaging در سمت کلاینت است؛ بهویژه نحوه ارسال و دریافت پیامها بین صفحات با originهای مختلف و تأثیر آن بر امنیت دادهها و منطق برنامه.
هدف شما در این چالش
در این سناریو شما باید به عنوان تحلیلگر امنیت برنامههای وب:
✔️ نحوه تعامل iframeها و صفحات والد (parent) را در برنامه بررسی کنید.
✔️ مکانیزم استفاده از postMessage برای ارتباط میان ویجت و کنسول عملیات را تحلیل نمایید.
✔️ بررسی کنید که آیا محدودیتهای امنیتی مربوط به Origin Validation بهدرستی پیادهسازی شدهاند یا خیر.
✔️ نحوه پردازش پیامهای دریافتی در سمت کلاینت و تأثیر آنها بر رابط کاربری و منطق برنامه را ارزیابی کنید.
✔️ بررسی کنید که آیا دادههای دریافتی از پیامهای مرورگر بدون اعتبارسنجی مناسب در برنامه استفاده میشوند یا خیر.
Hint مرحله نهایی
گزارش نهایی renderer از طریق endpoint زیر ثبت میشود:
/api/finalize
این endpoint نباید مثل یک صفحه معمولی مستقیماً در مرورگر باز شود؛ باید کاری کنی که درخواست به آن از داخل context مربوط به message renderer در CLIENT.local ارسال شود.
همچنین جهت دسترسی به صفحه مربوط به آزمایشگاه WSTG می توانید به لینک زیر مراجعه نمایید:
درصد پیشرفت حل چالش
0%
