در این چالش شما با یک محیط وب چندبخشی روبهرو هستید که شامل رابط اصلی سامانه و یک سرویس مدیریتی مجزا است.
هدف چالش، ارزیابی نحوه پیادهسازی کنترل دسترسی، شناسایی رابطهای مدیریتی پنهان یا کمپیدا، و بررسی ریسکهای ناشی از اتکای نادرست به کنترلهای سمت کاربر و سرویسهای مدیریتی در معرض دسترس است.
شرکتکننده باید با انجام شناسایی اولیه، سرویسهای فعال را بررسی کرده و سپس ساختار برنامه وب، مسیرهای موجود، فایلهای استاتیک و منطق رابط کاربری را تحلیل کند.
در این سناریو، بخشی از سرنخها ممکن است مستقیماً در رابط اصلی سامانه دیده نشوند و تنها از طریق بررسی دقیق کدهای سمت کاربر، منابع بارگذاریشده، یا رفتار بخشهای مختلف برنامه قابل شناسایی باشند.
این چالش برای سنجش توانایی تحلیل ضعفهای مربوط به مدیریت دسترسی، شناسایی رابطهای مدیریتی افشاشده، ارزیابی اعتبار کنترلهای مبتنی بر کلاینت، و بررسی سرویسهای داخلی یا قدیمی که بدون محدودسازی مناسب در دسترس قرار گرفتهاند طراحی شده است.
همچنین درک ارتباط میان اجزای مختلف سامانه و توانایی دنبال کردن سرنخها از یک بخش به بخش دیگر، نقش مهمی در پیشبرد تحلیل خواهد داشت.
برای موفقیت در این سناریو، لازم است شرکتکننده با رویکردی مرحلهبهمرحله، ابتدا سطح حمله را شناسایی کرده و سپس با تمرکز بر مسیرهای مدیریتی، منطق احراز یا تفکیک دسترسی، و سرویسهای جانبی، وضعیت امنیتی محیط را ارزیابی کند.
این چالش بیش از هر چیز بر شناخت ضعفهای کنترل دسترسی و پیامدهای امنیتی ناشی از افشای رابطهای مدیریتی در زیرساخت وب تمرکز دارد.
این چالش توسط FaultMaster طراحی شده است.
همچنین جهت دسترسی به صفحه مربوط به آزمایشگاه WSTG می توانید به لینک زیر مراجعه نمایید:
درصد پیشرفت حل چالش
0%