📜  安全测试-Web服务

📅  最后修改于: 2020-12-04 05:22:35             🧑  作者: Mango


在现代的基于Web的应用程序中,不可避免地会使用Web服务,并且它们也容易受到攻击。由于Web服务请求从多个网站获取,因此开发人员必须采取一些其他措施,以避免黑客进行任何形式的渗透。

动手

步骤1-导航到Webgoat的Web服务区域,然后转到WSDL扫描。现在,我们需要获取其他一些帐号的信用卡详细信息。该场景的快照如下所述。

网页服务

步骤2-如果我们选择名字,则通过SOAP请求xml进行“ getFirstName”函数调用。

web_services1

步骤3-通过打开WSDL,我们可以看到有一种方法可以检索信用卡信息以及“ getCreditCard”。现在让我们使用Burp套件篡改输入,如下所示-

web_services2

步骤4-现在让我们使用Burp套件修改输入,如下所示-

web_services3

步骤5-我们可以获得其他用户的信用卡信息。

web_services4

预防机制

  • 由于SOAP消息基于XML,因此所有传递的凭据都必须转换为文本格式。因此,在传递必须始终加密的敏感信息时必须非常小心。

  • 通过实施诸如校验和之类的机制来确保消息的完整性,从而保护消息的完整性。

  • 保护消息机密性-非对称加密用于保护对称会话密钥,在许多实现中,对称会话密钥仅对一次通信有效,随后被丢弃。