mereka untuk sebuah situs web adalah untuk mendirikan sebuah kehadiran online dan membuat informasi yang tersedia untuk siapa pun setiap saat. 45 Melihat Web 1.0 aplikasi tradisional pada kawat itu biasanya latihan membosankan. Satu umumnya akan melihat potongan besar HTML turun dari server, diikuti dengan beberapa gambar dan mungkin sedikit JavaScript untuk menu. Dalam AJAX aplikasi tions, rasio ini telah berubah secara signifikan. Sementara potongan besar HTML dan besar nomer gambar masih termasuk, jumlah JavaScript diturunkan oleh server telah berkembang dengan pesat. Lewatlah sudah hari di mana JavaScript digunakan hanya sebagai perekat untuk terus bersama bagian statis kecil dari aplikasi, seperti menu drop-down-JavaScript kini sebagian besar aplikasi itu sendiri. Ini telah benar-benar mengubah cara sebuah aplikasi terlihat pada kawat, karena aplikasi AJAX, tidak seperti Web 1.0 aplikasi tradisional, tidak terbatas pada pengiriman data dalam format pasangan nama-nilai HTTP POST. Dengan kebebasan objek Permintaan XMLHttp, sebuah aplikasi dapat berkomunikasi dengan server dalam format yang dipilihnya. 46 Dalam dunia Web 1.0, proses ini sering panjang dan rawan kesalahan. Ini karena untuk sepenuhnya memetakan metode terpapar oleh aplikasi, setiap sudut aplikasi harus dieksplorasi. Akun pengguna harus dibuat pada setiap tingkat akses, dan setiap kombinasi bentuk harus 45 Brian Getting. Basic Definitions: Web 1.0, Web. 2.0, Web 3.0. Available at http: www.practicalecommerce.comarticles464Basic-Definitions-Web-10-Web-20-Web-30 Accessed on 06012008 46 Rich Canning, Himansu Dwivedi, Zane Lackey. Hacking Exposed Web 2.0:Web 2.0 Security Secrets and Solutions. US: The McGraw-Hill Companies, 2008, page 147. diserahkan. Setelah ini selesai, penyerang harus menangkap menganalisis lalu lintas dari semua kegiatan tersebut dan memilih fungsi dari log. Inilah sebabnya mengapa web kerentanan scanner aplikasi biasanya telah kompleks dan mahal sepasang perangkat lunak, mereka harus mensimulasikan mengklik manusia melalui setiap area aplikasi sebelum daftar lengkap metode dapat diperoleh dan serangan komprehensif dapat dimulai. Dalam dunia Web 2.0, proses ini sering sangat disederhanakan. Sedangkan Web 1.0 komplikasi yang umumnya cukup sekuensial dan terkendali, aplikasi AJAX memiliki kemampuan untuk mengirim permintaan kapan saja dan dalam urutan apapun. Karena fakta ini, klien perlu tahu semua fungsi server depan. Hal ini sering berarti potongan besar Javascript dikirim ke klien selama beberapa permintaan awal, yang menggambarkan semua metode yang server mengekspos. Jika sebuah aplikasi turunkan file JavaScript dengan daftar semua metode terpapar, metode penemuan dapat dikurangi dari jam ke menit. Proses sebenarnya metode penemuan dalam aplikasi AJAX bervariasi pada kasus per kasus dan demi kerangka kerangka dasar. Namun, pelajaran dari melakukan metode penemuan terhadap satu kerangka umumnya mengajarkan penyerang bagaimana melakukan metode penemuan terhadap kerangka kerja lainnya. Sebuah analisis identifikasi kerangka kerja dan metode penemuan terhadap lima kerangka populer disediakan dalam bagian berikut dari. Selain itu, langkah-demi-langkah contoh adalah untuk