Kapitel 7. Schwachstellen in der Anwendungsarchitektur erkennen
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Bisher haben wir eine Reihe von Techniken zur Identifizierung von Komponenten in einer Webanwendung, zur Bestimmung der Form von APIs in einer Webanwendung und zum Erlernen der Art und Weise, wie eine Webanwendung mit dem Webbrowser eines Nutzers interagieren soll, besprochen. Jede Technik ist für sich genommen wertvoll, aber wenn die gesammelten Informationen auf organisierte Art und Weise kombiniert werden, können sie noch mehr Nutzen bringen.
Idealerweise machst du dir während des gesamten Aufklärungsprozesses Notizen, wie bereits in diesem Teil des Buches vorgeschlagen. Eine ordnungsgemäße Dokumentation deiner Nachforschungen ist unerlässlich, denn manche Webanwendungen sind so umfangreich, dass es Monate dauern kann, alle ihre Funktionen zu erforschen. Der Umfang der Dokumentation, die du während der Erkundung erstellst, hängt letztlich von dir ab (dem Tester, Hacker, Bastler, Ingenieur usw.). Mehr ist nicht immer wertvoller, wenn du nicht die richtigen Prioritäten setzt, aber mehr Daten sind immer noch besser als gar keine.
Im Idealfall erhältst du für jede getestete Anwendung eine gut organisierte Sammlung von Notizen. Diese Notizen sollten Folgendes beinhalten:
-
In der Webanwendung verwendete Technologie
-
Liste der API-Endpunkte nach HTTP-Verb
-
Liste der API-Endpunktformen ...
Get Sicherheit von Webanwendungen now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
