در این تست از استاندارد WSTG موسسه OWASP، بررسی کامنتهای HTML و متادیتای صفحات وب به عنوان بخشی از مرحله شناسایی (Information Gathering) در تست نفوذ وب انجام میشود.
توسعهدهندگان گاهی در طول توسعه یا عیبیابی برنامه، توضیحات یا اطلاعات فنی را به صورت کامنت در کد HTML قرار میدهند و ممکن است فراموش کنند قبل از انتشار آنها را حذف کنند. این کامنتها میتوانند حاوی اطلاعات حساسی مانند ساختار کوئریهای پایگاه داده، مسیر فایلها، نام سرویسها، نام کاربری یا حتی رمز عبور باشند.
یک مهاجم با بررسی سورس صفحه (View Source) میتواند این اطلاعات را استخراج کرده و از آنها برای شناسایی ساختار داخلی برنامه یا طراحی حملات بعدی استفاده کند.
علاوه بر کامنتها، متادیتای HTML و تگهای Meta نیز ممکن است اطلاعات مفیدی درباره ساختار یا پیکربندی سیستم ارائه دهند. تگهایی مانند Author، Cache-Control، Expires یا Refresh میتوانند جزئیاتی درباره نحوه کش شدن صفحات، زمان انقضا، یا حتی ریدایرکتهای داخلی نشان دهند.
اگرچه این اطلاعات به تنهایی معمولاً یک آسیبپذیری مستقیم محسوب نمیشوند، اما میتوانند به مهاجم در درک بهتر محیط هدف و کشف مسیرهای حمله کمک کنند.
بنابراین در تست امنیتی، بررسی دقیق سورس HTML، کامنتها و متادیتا برای شناسایی هرگونه نشت اطلاعات (Information Leakage) اهمیت زیادی دارد.
در این چالش شما ابتدا میبایست مستند مربوط به تست WSTG-INFO-005 را به صورت کامل مطالعه نموده و سپس اقدام به حل این چالش نمایید.
همچنین جهت دسترسی به صفحه مربوط به آزمایشگاه WSTG می توانید به لینک زیر مراجعه نمایید:
درصد پیشرفت حل چالش
0%
