入境点的识别

确定应用程序的切入点的目的是了解用于在客户端和服务器之间传输信息的协议和方法。 查看通过 HTTP 查询接受哪些单个参数、存储哪些信息 Cookie 以及使用什么标头。 这表现在下图中。 这允许您构建有关其逻辑和数据处理方式的应用程序的图像。 发送到服务器的请求结构示例

特征。 发送到服务器的请求结构示例。 资料来源:[自己的研究]

您可以使用带形式自动完成的 伯普蜘蛛 。 但是,通过手动检查结构并参考应用程序的所有功能并使用拦截器代理记录此运动 – Burp 拦截代理,可以取得更好的结果。  

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

Podziel się swoją opinią na temat artykułu