Identification des points d’entrée

L’identification des points d’entrée dans l’application vise à connaître les protocoles et méthodes utilisés pour transmettre des informations entre le client et le serveur. Vérifier quels paramètres individuels sont pris en charge par les requêtes HTTP, quelles informations sont stockées dans les cookies et quels en-têtes sont utilisés. Ceci est indiqué dans la figure ci-dessous. Cela permet de créer une image de l’application en fonction de sa logique et de la manière dont les données sont traitées. Exemple de structure de demande envoyée au serveur

Fig. Exemple de structure de demande envoyée au serveur. Source: [Auto-élaboration]

Pour ce faire, vous pouvez utiliser Burp Spider avec la fonction de remplissage automatique des formulaires. Cependant, de bien meilleurs résultats sont obtenus en vérifiant manuellement la structure et en faisant référence à toutes les fonctionnalités de l’application et en enregistrant ces mouvements à l’aide d’un proxy intercepteur – Burp Intercept Proxy.  

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Pour marque-pages : Permaliens.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *