Parte I. Reconocimiento

En lugar de una visión general técnica, que puedes encontrar en varios lugares a lo largo de Web Application Security, pensé que sería mejor empezar esta parte del libro con una visión general filosófica.

Para explotar aplicaciones web de forma eficaz, se requiere una amplia gama de habilidades. Por un lado, un hacker necesita conocimientos de protocolos de red, técnicas de desarrollo de software y vulnerabilidades comunes encontradas en varios tipos de aplicaciones. Pero, por otra parte, el hacker también necesita comprender la aplicación a la que se dirige. Cuanto más íntimo sea este conocimiento, mejor y más aplicable será.

El hacker de debe comprender la finalidad de la aplicación desde una perspectiva funcional. ¿Quiénes son sus usuarios? ¿Cómo genera ingresos la aplicación? ¿Con qué fin eligen los usuarios la aplicación frente a los competidores? ¿Quiénes son los competidores? ¿Qué funcionalidad tiene la aplicación?

Sin un conocimiento profundo de la aplicación de destino desde una perspectiva no técnica, es realmente difícil determinar qué datos y funcionalidades son importantes. Por ejemplo, una aplicación web utilizada para la venta de coches puede considerar que el almacenamiento de objetos que representan coches en venta (precio, inventario, etc.) son datos de misión crítica. Pero un sitio web de aficionados en el que los entusiastas de los coches pueden publicar y compartir las modificaciones realizadas en sus propios coches puede considerar ...