Mapowanie zasobów webaplikacji może zdradzić ważne informacje na temat drzewa i struktury katalogów aplikacji, tym samym ujawniając informacje o użytym oprogramowaniu, jego wersji, czy też wykorzystanym przy budowie języku programowania. Polega ono na zbudowaniu systematycznego widoku, który zazwyczaj w hierarchiczny sposób przedstawia z jakich danych zbudowana jest aplikacja WEB.
Mapę zasobów webaplikacji można budować na kilka sposobów:
- poprzez odwołanie do pliku txt zawierającego często wpisy do ukrytych ścieżek do których mają nie zaglądać wszelkiego rodzaju crawlery i spidery. Na grafice poniżej można zobaczyć przykładowy plik robots.txt ujawniający informacje na temat użytego języka programowania – php, czy też lokalizacji modułu administratora – /admin/.
Rys. Przykładowy plik robots.txt. Źródło: [robots]
- za pomocą narzędzi nazywanych „spiderami”, które znajdują w kodzie strony odwołania do różnych zasobów (grafiki, skrypty, linki) i na tej podstawie tworzą strukturę drzewa zasobów aplikacji. Przykładem takiego narzędzia jest moduł w programie Burp o nazwie Spider. W przykładzie poniżej Burp Spider zbudował mapę aplikacji. Pozwoliło to między innymi na poznanie lokalizacji panelu administracyjnego, wykorzystanych bibliotek, czy też języka programowania.
Rys. Mapa aplikacji zbudowana przez Burp Spider. Źródło: [Opracowanie własne]
