در این چالش شما با یک پلتفرم وب سازمانی روبهرو هستید که برای مدیریت و مشاهده وضعیت پیکربندی سرویسها طراحی شده است.
این سامانه از یک وبسرور nginx در لایه جلویی استفاده میکند و درخواستها را به یک برنامه وب در لایه داخلی هدایت میکند. هدف اصلی چالش بررسی نحوه در دسترس قرار گرفتن بخشهای مختلف این سامانه و تحلیل نشانههایی است که میتوانند اطلاعات بیشتری درباره ساختار داخلی سیستم ارائه دهند.
در جریان بررسی، شما باید با دقت صفحات وب، کد منبع HTML، مسیرهای قابل دسترس و فایلهایی که ممکن است بهصورت ناخواسته در محیط عملیاتی باقی مانده باشند را تحلیل کنید. در بسیاری از محیطهای واقعی، فایلهای آزمایشی، نمونهها یا ابزارهای قدیمی که در مراحل توسعه استفاده شدهاند ممکن است در نسخه نهایی حذف نشوند و بهعنوان یک منبع اطلاعاتی برای مهاجمان عمل کنند.
همچنین توجه به لاگها، endpointهای API و اطلاعاتی که در پاسخهای سیستم یا فایلهای موجود در سرور قرار دارند میتواند سرنخهای ارزشمندی درباره نحوه عملکرد سرویس، مکانیزمهای احراز هویت و اجزای داخلی زیرساخت ارائه دهد. تحلیل این دادهها بخش مهمی از فرآیند ارزیابی امنیتی سرویسهای وب محسوب میشود.
هدف این سناریو آشنایی با پیامدهای قرار گرفتن فایلها و منابع عملیاتی در دسترس عمومی، مدیریت نادرست لاگها و افشای اطلاعات در محیط production است. شما باید با تحلیل دقیق محیط و بررسی منابع در دسترس، دید جامعتری نسبت به ساختار سامانه به دست آورده و مسیر پیشروی در چالش را کشف کنید.
این چالش توسط FaultMaster طراحی شده است.
همچنین جهت دسترسی به صفحه مربوط به آزمایشگاه WSTG می توانید به لینک زیر مراجعه نمایید:
درصد پیشرفت حل چالش
0%
