Kapitel 7. Schwachstellen in derAnwendungsarchitektur erkennen
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Bisher haben wir eine Reihe von Techniken besprochen, um Komponenten in einer Webanwendung zu identifizieren, die Form von APIs in einer Webanwendung zu bestimmen und zu lernen, wie eine Webanwendung mit dem Webbrowser eines Nutzers interagieren soll. Jede Technik ist für sich genommen wertvoll, aber wenn die gesammelten Informationen auf organisierte Art und Weise kombiniert werden, können sie noch mehr Nutzen bringen.
Im Idealfall machst du dir während des gesamten Aufklärungsprozesses Notizen, wie bereits erwähnt. Eine ordnungsgemäße Dokumentation deiner Nachforschungen ist unerlässlich, denn manche Webanwendungen sind so umfangreich, dass es Monate dauern kann, alle ihre Funktionen zu erforschen. Der Umfang der Dokumentation, die du während der Erkundung erstellst, hängt letztlich von dir ab (dem Tester, Hacker, Bastler, Ingenieur usw.). Mehr ist nicht immer wertvoller, wenn du nicht die richtigen Prioritäten setzt, aber mehr Daten sind immer noch besser als gar keine.
Für jede getestete Anwendung solltest du im Idealfall eine gut organisierte Sammlung von Notizen erstellen. Diese Notizen sollten Folgendes beinhalten:
-
In der Webanwendung verwendete Technologie
-
Liste der API-Endpunkte nach HTTP-Verb
-
Liste der API-Endpunktformen (sofern verfügbar)
-
In der Webanwendung enthaltene ...
Get Web Application Security, 2. Auflage now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
