欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_安全工具正文

Web Service 和 Web API渗入渗出测试指南(一)

de64384a174e12dc2018-02-2622安全工具

嗨,列位读者,明天我们将相识Web效劳和API渗入渗出测试局部中的另一个风趣的局部,它缭绕Web效劳的平安性评价睁开。

起首让我们来看看Web效劳由哪些构成:

Web效劳是由规范化的XML音讯通报体系构成的软件。Web效劳的优点在于它的一切通讯都是XML花样,它们不限于任何操作体系或编程言语,它们构建于Web效劳之上,都建立在开放规范之上,如TCP / IP,HTTP,Java, HTML和XML。

Web效劳理会

简朴地说,任何基础的Web效劳平台都是XML和HTTP的组合。

它们可所以:

  • SOAP(简朴对象接见协定)

  • UDDI(通用形貌,发明和集成)

  • WSDL(Web效劳形貌言语)

Web效劳怎样事情?

Web效劳依赖于

  • XML来符号数据(作为符号和体系

  • SOAP传输音讯

  • WSDL来形貌效劳的可用性。

我们来看看基于SOAP的Web效劳理会:

1519387729622944.png Web Service 和 API渗入渗出测试指南(一)  安全工具 第1张 1519387729622944.png Web Service 和 API渗入渗出测试指南(一)  安全工具 第1张

SOAP效劳构造

 

1519387755292424.png Web Service 和 API渗入渗出测试指南(一)  安全工具 第3张 1519387755292424.png Web Service 和 API渗入渗出测试指南(一)  安全工具 第3张

Web效劳结构

Web效劳渗入渗出测试:

要最先渗入渗出测试Web效劳,我们老是须要以下开端学问:

1)示例API文件(WSDL / SOAP等)

2)示例要求/相应(相识值和数据通报)

3)进口点/ URL

用于实行Web效劳渗入渗出测试的对象:

  • Fiddler

  • Burp Suite

  • Acunetix / IBM平安AppScan

  • ZAP署理

  • Curl

    ----------------------------------------------

    申博|网络安全巴士站【https://www.bus123.net/】

    申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

    ----------------------------------------------
  • SOAP UI

    接下来,我会扼要引见Web效劳平安测试的种种测试用例,对象和要领。
    黑盒Web效劳渗入渗出测试先决条件:

    -> Web效劳形貌言语(WSDL)文件
    灰盒Web效劳渗入渗出测试先决条件:

    -> WSDL文件的要领示例要求/相应。

    Web效劳的渗入渗出测试阶段:
    1.信息收集
    2.黑盒
    3.Google hacking(运用dorks发明收集托管网站的 Web效劳)
    4.UDDI 
    5.Web效劳发明(若是没有供应WSDL的话)
    6.身份验证范例发明

    测试要领:
    ->主动测试对象
    •SoapUI Pro 
    •OWASP ZAP 
    •IBM AppScan 
    •HP Webinspect 
    •WSBang 
    •WSMap

    ->手动测试对象
    •Soap UI Free
    •Burp Suite Pro 
    •Postman(和 Burp合营运用)

    ->扩大:
    •SAML编辑器
    •SAML编码器/解码器
    •WSDL领导
    •Wsdler 
    •SOA客户端

    在Web效劳中查找测试用例:
    •Fuzzing
    •XSS / SQLi /花样毛病的XML 
    •文件上传
    •Xpath注入
    •XML炸弹(DoS)
    •基于身份验证的进击
    •重放进击
    •会话流动
    •XML署名封装
    •会话超时
    •主机暗码支撑/有用证书/协定支撑
    •散列算法支撑

    如今我们来看看怎样运用SOAP UI实行主动扫描并取得Web效劳的开端平安申报。

    运用SOAP UI Pro停止平安评价:
    1.启动SOAP UI并建立功用测试用例

    1519387826762391.jpg Web Service 和 API渗入渗出测试指南(一)  安全工具 第5张 1519387826762391.jpg Web Service 和 API渗入渗出测试指南(一)  安全工具 第5张

    建立测试用例

    2.增添平安测试

    1519387842460305.jpg Web Service 和 API渗入渗出测试指南(一)  安全工具 第7张 1519387842460305.jpg Web Service 和 API渗入渗出测试指南(一)  安全工具 第7张

    增添平安测试

    3.挑选“主动”形式为TestCase中的TestSteps天生默许平安扫描和断言,然后点击“Next”:

    1519387857270685.jpg Web Service 和 API渗入渗出测试指南(一)  安全工具 第9张 1519387857270685.jpg Web Service 和 API渗入渗出测试指南(一)  安全工具 第9张

    天生平安扫描

    4.按OK以运用所形貌的设置装备摆设建立平安测试并翻开平安测试窗口:

    1519387874595786.jpg Web Service 和 API渗入渗出测试指南(一)  安全工具 第11张 1519387874595786.jpg Web Service 和 API渗入渗出测试指南(一)  安全工具 第11张

    实行平安测试

    5.如今运转平安测试

    1519387898800296.jpg Web Service 和 API渗入渗出测试指南(一)  安全工具 第13张 1519387898800296.jpg Web Service 和 API渗入渗出测试指南(一)  安全工具 第13张

    运转平安测试

    6.宣布平安扫描后,你能够深切相识输入或天生申报以供你评价。

    搭建易受进击的Web效劳的虚拟机情况:

    •OWASP 
    Mutillidae

    •PenTester实验室:Axis2 Web效劳和Tomcat管理器
    •DVWS 
    •OWASP WebGoat

    本系列的后续局部将重点议论怎样运用burp suite+ PostMan和SOAP UI手动测试Web效劳。

    参考资料和泉源
    https://www.owasp.org/index.php/REST_Assessment_Cheat_Sheet
    https://www.soapui.org/security-testing/getting-started.html

    本文翻译自:http://blog.securelayer7.net/web-services-api-penetration-testing-part-1/如若转载,请说明原文地点: http://www.4hou.com/technology/10453.html

    网友评论