Identyfikacja punktów wejścia

Celem identyfikacji punktów wejścia do aplikacji jest poznanie protokołów i metod wykorzystywanych do przesyłania informacji między klientem a serwerem. Sprawdzenie jakie poszczególne parametry przyjmowane są poprzez zapytania HTTP, oraz jakie informacje przechowywane są plikach cookie oraz jakie nagłówki są używane. Jest to widoczne na rysunku poniżej. Pozwala to na zbudowanie obrazu aplikacji odnośnie jej logiki oraz sposobu przetwarzania danych.

Przykład struktury żądania wysyłanego do serwera

Rys. Przykład struktury żądania wysyłanego do serwera. Źródło: [Opracowanie własne]

Można do tego wykorzystać program Burp Spider wraz z funkcją autouzupełniania formularzy. Dużo lepsze rezultaty uzyskuje się jednak poprzez ręczne sprawdzenie struktury i odwołanie się do wszystkich funkcjonalności aplikacji oraz nagranie tego ruchy za pomocą proxy przechwytującego – Burp Intercept Proxy.

 

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Otagowano , , , , , , , , , .Dodaj do zakładek Link.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *