در این چالش شما با یک سامانه داخلی به نام CLIENT Desk روبرو هستید که برای مدیریت پروندههای عملیاتی و بازیابی محیطهای کاری پس از قطع ارتباط طراحی شده است.
این سامانه دارای بخشی به نام Offline Workbench Recovery است که به کاربران اجازه میدهد وضعیت یک workspace نیمهکاره را پس از اتصال مجدد به سیستم بازیابی کنند.
برای فراهم کردن این قابلیت، برنامه بخشی از اطلاعات مربوط به workspace و وضعیت نشست را در Browser Storage نگهداری میکند تا پس از بارگذاری مجدد صفحه یا بازگشت کاربر به سیستم، اطلاعات قبلی قابل بازیابی باشند. این طراحی میتواند در برخی شرایط باعث ایجاد ریسکهای امنیتی در سمت کلاینت شود.
در این سناریو شما به عنوان تحلیلگر امنیت باید رفتار برنامه در مدیریت دادههای ذخیرهشده در مرورگر را بررسی کنید و ارزیابی نمایید که آیا اطلاعات حساس بهدرستی محافظت میشوند یا خیر.
هدف شما در این چالش
در این تمرین امنیتی لازم است:
✔️ ساختار برنامه و نحوه بارگذاری اولیه دادهها از API را بررسی کنید.
✔️ نحوه ذخیرهسازی وضعیت برنامه و اطلاعات workspace در Browser Storage را تحلیل نمایید.
✔️ بررسی کنید که برنامه از چه مکانیزمهایی برای نگهداری داده در مرورگر استفاده میکند.
✔️ ارزیابی کنید که آیا دادههای حساس یا اطلاعات داخلی برنامه در سمت کلاینت نگهداری میشوند یا خیر.
✔️ بررسی کنید که آیا دادههای ذخیرهشده در مرورگر میتوانند به فرآیندهای داخلی برنامه یا قابلیتهای خاص سیستم دسترسی ایجاد کنند.
همچنین جهت دسترسی به صفحه مربوط به آزمایشگاه WSTG می توانید به لینک زیر مراجعه نمایید:
درصد پیشرفت حل چالش
0%
