在开始探查应用程序、检测任何实际的访问控制漏洞之前,渗透测试员应该花一些时间检查解析应用程序过程中得到的结果(请参阅第4章了解相关内容),了解应用程序在访问控制方面的实际要求,从而决定探查哪些内容可以得到最令人满意的结果。