(1)在应用程序中,确定隐藏表单字段、cookie和URL参数明显用于通过客户端传送数据的任何情况。
(2)根据数据出现的位置以及参数名称之类的线索,确定或猜测它在应用程序逻辑中发挥的作用。
(3)修改数据在应用程序相关功能中的值。确定应用程序是否处理在参数中提交的任意值,以及这样做是否会导致应用程序易于遭受任何攻击。
有时候,通过客户端传送的数据被加密或进行了某种形式的模糊处理,因而变得晦涩难懂。例如,下面的产品价格并不保存在隐藏字段中,而是以隐含值(crytic value)的形式传送。
如果发现这种情况,可以据此推断,提交表单后,服务器端应用程序将检查模糊字符串的完整性,或对其进行解密或去模糊处理,然后处理它的明文值。这种深层次处理可能易于造成各种漏洞;但是,要探查或利用这种漏洞,首先必须对有效载荷进行适当的处理。