Paweł Goleń, blog

Nie muszę być ekspertem w konkretnej technologii by móc badać bezpieczeństwo aplikacji z niej korzystającej. Olbrzymia część błędów w aplikacjach nie jest specyficzna dla wykorzystanej technologii (język, framework, ...), choć oczywiście, jakaś grupa problemów specyficznych zawsze się znajdzie. Warto jakieś ogólne pojęcie o programowaniu posiadać, pomoże to w zrozumieniu opisów badanej technologii (czasem trzeba zrobić RTFM). Ważna jest również umiejętność spojrzenia na pewną funkcjonalność i próba określenia jak dana funkcja może być zrealizowana.

W przykładzie http://bootcamp.threats.pl/lesson18/ formatka wyszukiwania pozwala na określenie trzech parametrów, po których wyszukiwanie może się odbyć. Warto zastanowić się, czy:

• wszystkie parametry łącznie mają sens,
• czy wszystkie warianty wyszukiwania (różne kombinacje parametrów) obsługuje jedno zapytanie,
• jakie optymalizacje mogły zostać wprowadzone,

Powodzenia! Na razie jest jedno rozwiązanie tego zadania.

Oryginał tego wpisu dostępny jest pod adresem Bootcamp XVIII: Jak to może być zrobione?

Autor: Paweł Goleń