(1)了解应用程序执行的核心功能和使用的主要安全机制。
(2)确定通常与常见漏洞有关的应用程序功能和行为特点。
(3)在公共漏洞数据库(如www.osvdb.org)中检查任何第三方代码,以确定任何已知问题。
(4)制订攻击计划,优先考虑最可能包含漏洞的功能,以及最严重的漏洞。