Identyfikacja punktów wejścia

Celem identyfikacji punktów wejścia do aplikacji jest poznanie protokołów i metod wykorzystywanych do przesyłania informacji między klientem a serwerem. Sprawdzenie jakie poszczególne parametry przyjmowane są poprzez zapytania HTTP, oraz jakie informacje przechowywane są plikach cookie oraz jakie nagłówki są używane. Jest to widoczne na rysunku poniżej. Pozwala to na zbudowanie obrazu aplikacji odnośnie jej logiki oraz sposobu przetwarzania danych.

 

Rys. Przykład struktury żądania wysyłanego do serwera. Źródło: [Opracowanie własne]

 

Można do tego wykorzystać program Burp Spider wraz z funkcją autouzupełniania formularzy. Dużo lepsze rezultaty uzyskuje się jednak poprzez ręczne sprawdzenie struktury i odwołanie się do wszystkich funkcjonalności aplikacji oraz nagranie tego ruchy za pomocą proxy przechwytującego – Burp Intercept Proxy.

 

Dodaj do zakładek Link.

Podziel się swoją opinią na temat artykułu