Искать нужно места в программе, где:
□ Web–приложение получает секретную информацию из формы или из URL;
□ для принятия решения о безопасности, доверии или авторизации используются данные;
□ данные передаются по незащищенному или не заслуживающему доверия каналу.