Ushbu o‘quv bo‘limi quyidagi o‘quv maqsadlarini qamrab oladi:
Avvalgi modulda biz passiv ma’lumot yig‘ish jarayoni veb-ilovani xaritalashda qanday muhim rol o‘ynashini o‘rganib chiqqan edik, ayniqsa, jamoat omborlari (public repositories) yoki Google dorklar orqali nishonimizga oid maxfiy ma’lumotlar fosh bo‘lsa. Siz ishlayotganingizdan qat’i nazar – bu sizda mavjud bo‘lgan sizib chiqqan login ma’lumotlari bo‘ladimi yoki oddiy ilova hujjatlari bo‘ladimi – faol veb-ilova testlari davomida passiv ravishda olingan ma’lumotlarga doimo murojaat qilish lozim, chunki ular hali o‘rganilmagan yo‘llarga olib borishi mumkin.
Veb-ilovaga bexosdan hujum qilishga urinishdan avval, uni tashkil etuvchi komponentlarni aniqlash juda muhim. Ko‘plab veb-ilova zaifliklari texnologiyaga bog‘liq bo‘lmasada, ayrim ekspluatlar va foydalanuvchi yuboradigan maxsus so‘rovlar (payloadlar) ilovaning texnologik asosiga qarab tuzilishi kerak bo‘ladi, masalan: ma’lumotlar bazasi dasturi yoki operatsion tizim. Har qanday hujumni boshlashdan avval biz avvalroq o‘rganib chiqqan metodologiyalar yordamida ilovaning texnologik stekini aniqlab olishimiz lozim. Texnologik stek odatda quyidagilardan iborat bo‘ladi: host (asosiy) operatsion tizimi, veb-server dasturi, ma’lumotlar bazasi dasturi hamda frontend/backend dasturlash tili.
Stekni aniqlab olganimizdan so‘ng, ilovaning o‘zini o‘rganishga kirishamiz.
Bu ma’lumotlarni to‘g‘ridan-to‘g‘ri brauzer yordamida ham yig‘ishimiz mumkin. Hozirgi zamonaviy brauzerlarning aksariyati ilovani o‘rganishda yordam beruvchi ishlab chiquvchi vositalarini (Developer Tools) o‘z ichiga oladi.
Nomidan ko‘rinib turibdiki, Developer Tools odatda dasturchilar tomonidan ishlatiladi, biroq ular bizning maqsadlarimiz uchun ham juda foydali, chunki ular nishon ilovamizning ichki ishlash mexanizmlari haqida ma’lumot beradi.
Biz Kali Linux tizimida standart brauzer bo‘lgan Firefox bilan ishlaymiz. Biroq, boshqa ko‘pgina brauzerlar ham shunga o‘xshash vositalarga ega.