چالش WSTG-CONF-005

مقدماتی
چالش WSTG-CONF-005

در این چالش شما با یک محیط وب چندبخشی روبه‌رو هستید که شامل رابط اصلی سامانه و یک سرویس مدیریتی مجزا است.

 

هدف چالش، ارزیابی نحوه پیاده‌سازی کنترل دسترسی، شناسایی رابط‌های مدیریتی پنهان یا کم‌پیدا، و بررسی ریسک‌های ناشی از اتکای نادرست به کنترل‌های سمت کاربر و سرویس‌های مدیریتی در معرض دسترس است.

 

شرکت‌کننده باید با انجام شناسایی اولیه، سرویس‌های فعال را بررسی کرده و سپس ساختار برنامه وب، مسیرهای موجود، فایل‌های استاتیک و منطق رابط کاربری را تحلیل کند.

 

در این سناریو، بخشی از سرنخ‌ها ممکن است مستقیماً در رابط اصلی سامانه دیده نشوند و تنها از طریق بررسی دقیق کدهای سمت کاربر، منابع بارگذاری‌شده، یا رفتار بخش‌های مختلف برنامه قابل شناسایی باشند.

 

این چالش برای سنجش توانایی تحلیل ضعف‌های مربوط به مدیریت دسترسی، شناسایی رابط‌های مدیریتی افشاشده، ارزیابی اعتبار کنترل‌های مبتنی بر کلاینت، و بررسی سرویس‌های داخلی یا قدیمی که بدون محدودسازی مناسب در دسترس قرار گرفته‌اند طراحی شده است.

 

همچنین درک ارتباط میان اجزای مختلف سامانه و توانایی دنبال کردن سرنخ‌ها از یک بخش به بخش دیگر، نقش مهمی در پیشبرد تحلیل خواهد داشت.

 

برای موفقیت در این سناریو، لازم است شرکت‌کننده با رویکردی مرحله‌به‌مرحله، ابتدا سطح حمله را شناسایی کرده و سپس با تمرکز بر مسیرهای مدیریتی، منطق احراز یا تفکیک دسترسی، و سرویس‌های جانبی، وضعیت امنیتی محیط را ارزیابی کند.

 

این چالش بیش از هر چیز بر شناخت ضعف‌های کنترل دسترسی و پیامدهای امنیتی ناشی از افشای رابط‌های مدیریتی در زیرساخت وب تمرکز دارد.

 

این چالش توسط FaultMaster طراحی شده است.

 

همچنین جهت دسترسی به صفحه مربوط به آزمایشگاه WSTG می توانید به لینک زیر مراجعه نمایید:

 

 

آزمایشگاه WSTG

دسترسی محدود شده

برای دسترسی به این چالش باید وارد حساب کاربری خود شوید

ثبت نام / ورود

درصد پیشرفت حل چالش

0%