Dzięki identyfikacji punktów wejścia, aplikacja może zostać przetestowana w sposób metodyczny. Pisałem, że dla każdego punktu wejścia sprawdzony powinien zostać każdy przekazywany parametr i sprawdzony powinien być wpływ jego manipulacji na działanie aplikacji. Istnieje jednak pewien problem - takie podejście może zaowocować brakiem spojrzenia całościowego na aplikację. O ile identyfikacja punktów wejścia i analiza poszczególnych parametrów jest działaniem do pewnego stopnia mechanicznym, to umiejętność całościowego spojrzenia na testowaną funkcjonalność jest już czymś bardziej złożonym, twórczym. Czymś, w czym skaner automatyczny jeszcze długo nie zastąpi człowieka...
PS
Bywasz może na spotkaniach OWASPowych w Krakowie?
Pozdrawiam
Jest mały kłopot z prelegentami (ich brak). A i lider oddziału w Polsce ma teraz dużo na głowie.
Jeżeli byłbyś zainteresowany występem jako prelegent to napisz do mnie proszę. Jestem w trakcie przygotowań do ~2 spotkań OWASPowych (poza Krakowem), ale w Krakowie przed wakacjami też by się coś przydało