شما با یک چالش وبمحور در محیط آزمایشگاهی INFO.lab Operations Portal روبهرو هستید که هدف اصلی آن سنجش توانایی شما در شناسایی و مستندسازی نقاط ورود برنامه است.
در این سناریو، تنها مشاهده مسیرهای ظاهری وبسایت کافی نیست و لازم است رفتار برنامه از طریق صفحات، فرمها، فایلهای سمت کلاینت، APIها و پاسخهای سرور با دقت بررسی شود.
در این چالش باید برنامه را مانند یک تست نفوذ اولیه و مرحله شناسایی بررسی کنید.
تمرکز اصلی روی این است که متوجه شوید دادههای ورودی برنامه فقط از طریق URL یا فرمهای قابل مشاهده دریافت نمیشوند، بلکه ممکن است در قالب پارامترهای Query String، فیلدهای مخفی فرم، Cookieها، Headerهای سفارشی و مسیرهای API نیز بر منطق سمت سرور تأثیر بگذارند.
برای پیشروی در چالش، لازم است مسیرهای در دسترس، درخواستها و پاسخهای HTTP، سورس صفحات، فایلهای JavaScript و سرنخهای موجود در خروجی APIها را تحلیل کنید.
هدف این است که نقشهای کامل از ورودیهای برنامه تهیه کرده و تشخیص دهید هر ورودی چگونه میتواند رفتار برنامه، سطح دسترسی یا مسیرهای داخلی آن را تغییر دهد.
این چالش بر پایه مفاهیم Web Application Mapping و شناسایی سطح حمله طراحی شده است و بهطور خاص روی دقت در Recon، تحلیل درخواستها، کشف ورودیهای پنهان و توجه به سرنخهای سمت کلاینت و سمت سرور تأکید دارد.
موفقیت در این سناریو وابسته به این است که هیچ ورودی قابلکنترلی را نادیده نگیرید و برنامه را بهصورت ساختاریافته و مرحلهبهمرحله بررسی کنید.
این چالش توسط FaultMaster طراحی شده است.
همچنین جهت دسترسی به صفحه مربوط به آزمایشگاه WSTG می توانید به لینک زیر مراجعه نمایید:
درصد پیشرفت حل چالش
0%
