در این چالش شما با یک سرویس وب روبهرو هستید که از طریق یک سرور nginx در دسترس قرار گرفته است.
در نگاه اول ممکن است سرویس ساده به نظر برسد، اما هدف اصلی چالش بررسی نحوه پیکربندی سرویس و شناسایی ضعفهایی است که میتوانند منجر به افشای اطلاعات شوند. شما باید با دقت رفتار سرویس، مسیرهای در دسترس و پاسخهای مختلف سرور را تحلیل کنید تا درک بهتری از ساختار داخلی برنامه به دست آورید.
در جریان بررسی، توجه به endpointها، مسیرهای مخفی یا کمتر مستند شده و فایلهایی که بهصورت ناخواسته در دسترس عموم قرار گرفتهاند اهمیت زیادی دارد.
گاهی اوقات خطاهای پیکربندی در reverse proxy یا تنظیمات سرور میتواند باعث شود بخشهایی از زیرساخت یا اطلاعات مرتبط با سرویسهای داخلی قابل مشاهده شوند. تحلیل دقیق این نشانهها میتواند سرنخهایی درباره معماری برنامه و نحوه ارتباط اجزای مختلف آن فراهم کند.
همچنین در این چالش لازم است شما به مدیریت دسترسی و تنظیمات امنیتی سرویسهای مدیریتی توجه داشته باشید. در برخی موارد، باقی ماندن تنظیمات پیشفرض، فایلهای قدیمی پیکربندی یا مستندات داخلی میتواند اطلاعات حساسی را آشکار کند که برای پیشروی در چالش مفید هستند. بررسی چنین مواردی بخشی از فرآیند تحلیل امنیتی یک سرویس واقعی محسوب میشود.
هدف این سناریو آشنایی با مفهوم Configuration Exposure و پیامدهای پیکربندی نادرست در سرویسهای وب است. شما با تحلیل دقیق محیط، کشف مسیرهای غیرمنتظره و بررسی نشانههای موجود در پاسخهای سرور، میتوانید تصویر کاملتری از زیرساخت به دست آورده و مراحل بعدی چالش را پیش ببرید.
این چالش توسط FaultMaster طراحی شده است.
همچنین جهت دسترسی به صفحه مربوط به آزمایشگاه WSTG می توانید به لینک زیر مراجعه نمایید:
درصد پیشرفت حل چالش
0%
