L’identification des points d’entrée dans l’application vise à connaître les protocoles et méthodes utilisés pour transmettre des informations entre le client et le serveur. Vérifier quels paramètres individuels sont pris en charge par les requêtes HTTP, quelles informations sont stockées dans les cookies et quels en-têtes sont utilisés. Ceci est indiqué dans la figure ci-dessous. Cela permet de créer une image de l’application en fonction de sa logique et de la manière dont les données sont traitées. 
Fig. Exemple de structure de demande envoyée au serveur. Source: [Auto-élaboration]
Pour ce faire, vous pouvez utiliser Burp Spider avec la fonction de remplissage automatique des formulaires. Cependant, de bien meilleurs résultats sont obtenus en vérifiant manuellement la structure et en faisant référence à toutes les fonctionnalités de l’application et en enregistrant ces mouvements à l’aide d’un proxy intercepteur – Burp Intercept Proxy.
