Safe Target Website
Pablo Demo Shop — אתר יעד דמו
אתר סימולציה לתרגול פנטסט חוקי. כל “חולשה” כאן מדומה, סטטית ובטוחה; אין התחברות אמיתית, אין DB, אין העלאות קבצים ואין תקיפה על השרת.
דף בית מדומה
ברוך הבא לחנות הדמו. המטרה: לאתר ממצאים, לתעד אותם ולכתוב דוח.
<!-- debug: staging build visible | flag: PCL{debug_comment_found} -->Scope
מותר לבדוק רק את דפי הדמו שבתוסף. אסור לסרוק את pablo-guides.com או כל יעד חיצוני.
Flag: PCL{scope_first}
Security Headers
- Content-Security-Policy: חסר
- X-Frame-Options: חסר
- Strict-Transport-Security: קיים בדוגמה
Flag: PCL{headers_reviewed}
API Response מדומה
{
"id": 7,
"email": "[email protected]",
"role": "customer",
"internal_note": "field should not be exposed",
"flag": "PCL{api_excessive_data}"
}טבלת משתמשים מדומה
| שם | תפקיד | הערת אבטחה |
|---|---|---|
| demo-editor | administrator | הרשאה רחבה מדי — PCL{least_privilege} |
| demo-customer | customer | תקין |
Upload Policy
המדיניות המדומה לא כוללת allowlist קשיח לסוגי קבצים, בדיקת MIME וגודל.
Flag: PCL{upload_allowlist_needed}
לוגים מדומים
10:01 login_failed user=admin ip=198.51.100.24
10:02 login_failed user=admin ip=198.51.100.24
10:05 login_success user=editor ip=203.0.113.15
flag=PCL{timeline_built}הדמו נועד לתרגול מתודולוגיה: איסוף ראיות, סיווג חומרה, כתיבת Impact והמלצת תיקון. הוא לא מריץ חולשות אמיתיות.