关灯
开启左侧

Web Service 和 Web API渗透测试指南

[复制链接]
“超”人姐姐 发表于 2018-6-28 14:52:44 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
 
       嗨,各位读者,今天我们将了解Web服务和API渗透测试部分中的另一个有趣的部分,它围绕Web服务的安全性评估展开。
  首先让我们来看看Web服务由哪些组成:
  Web服务是由标准化的XML消息传递系统组成的软件。Web服务的好处在于它的所有通信都是XML格式,它们不限于任何操作系统或编程语言,它们构建于Web服务之上,都建立在开放标准之上,如TCP / IP,HTTP,Java, HTML和XML。
  Web服务剖析
  简单地说,任何基本的Web服务平台都是XML和HTTP的组合。
  它们可以是:
  SOAP(简单对象访问协议)
  UDDI(通用描述,发现和集成)
  WSDL(Web服务描述语言)
  Web服务如何工作?
  Web服务依赖于
  XML来标记数据(作为标记和系统
  SOAP传输消息
  WSDL来描述服务的可用性。
  Web服务渗透测试:
  要开始渗透测试Web服务,我们总是需要以下初步知识:
  1)示例API文件(WSDL / SOAP等)
  2)示例请求/响应(了解值和数据传递)
  3)入口点/ URL
  用于执行Web服务渗透测试的工具:
  Fiddler
  Burp Suite
  Acunetix / IBM安全AppScan
  ZAP代理
  Curl
  SOAP UI
  接下来,我会简要介绍Web服务安全测试的各种测试用例,工具和方法。
  黑盒Web服务渗透测试先决条件:
  -> Web服务描述语言(WSDL)文件
  灰盒Web服务渗透测试先决条件:
  -> WSDL文件的方法示例请求/响应。
  Web服务的渗透测试阶段:
  1.信息收集
  2.黑盒
  3.Google hacking(使用dorks发现网络托管网站的 Web服务)
  4.UDDI
  5.Web服务发现(如果没有提供WSDL的话)
  6.身份验证类型发现
  测试方法:
  ->自动测试工具
  SoapUI Pro
  OWASP ZAP
  IBM AppScan
  HP Webinspect
  WSBang
  WSMap
  ->手动测试工具
  Soap UI Free
  Burp Suite Pro
  Postman(和 Burp配合使用)
  ->扩展:
  SAML编辑器
  SAML编码器/解码器
  WSDL向导
  Wsdler
  SOA客户端
  在Web服务中查找测试用例:
  Fuzzing
  XSS / SQLi /格式错误的XML
  文件上传
  Xpath注入
  XML炸弹(DoS)
  基于身份验证的攻击
  重放攻击
  会话固定
  XML签名封装
  会话超时
  主机密码支持/有效证书/协议支持
  散列算法支持
  现在我们来看看如何使用SOAP UI执行自动扫描并获得Web服务的初步安全报告。
  使用SOAP UI Pro进行安全评估:
  1.启动SOAP UI并创建功能测试用例
  2.添加安全测试
  3.选择“自动”模式为TestCase中的TestSteps生成默认安全扫描和断言,然后点击“Next”:
  4.按OK以使用所描述的配置创建安全测试并打开安全测试窗口:
  5.现在运行安全测试  
      6.发布安全扫描后,你可以深入了解输出或生成报告以供你评估。
  搭建易受攻击的Web服务的虚拟机环境:
  ●OWASP
  Mutillidae
  ●PenTester实验室:Axis2 Web服务和Tomcat管理器
  ●DVWS
  ●OWASP WebGoat
  本系列的后续部分将重点讨论如何使用burp suite+ PostMan以及SOAP UI手动测试Web服务。



 
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

排行榜
关闭

站长推荐上一条 /1 下一条

官方微信

全国服务热线:

400-0708-360

公司地址:国家西部信息安全产业基地(成都市高新区云华路333号)

邮编:610000    Email:2908503813@qq.com

Copyright   ©2015-2016  EOIT论坛Powered by©Discuz!    ( 蜀ICP备11000634号-7 )