(1)检查应用程序解析过程中得到的结果(请参阅第 4 章了解相关内容),确定可用于获取有用信息的所有服务器端功能与客户端数据。
(2)在应用程序中确定服务器向浏览器返回密码或信用卡资料等敏感数据的所有位置。即使这些信息在屏幕上隐藏显示,但仍然可以在服务器的响应中看到这些信息。如果发现其他适当的漏洞,例如访问控制或会话处理方面的漏洞,就可以利用这种行为获取属于其他应用程序用户的信息。
(3)如果已经确定任何提取敏感信息的方法,请使用第14章描述的技巧自动攻击解析过程。