在现代的基于Web的应用程序中，不可避免地会使用Web服务，并且它们也容易受到攻击。由于Web服务请求从多个网站获取，因此开发人员必须采取一些其他措施，以避免黑客进行任何形式的渗透。

动手

步骤1-导航到Webgoat的Web服务区域，然后转到WSDL扫描。现在，我们需要获取其他一些帐号的信用卡详细信息。该场景的快照如下所述。

步骤2-如果我们选择名字，则通过SOAP请求xml进行“ getFirstName”函数调用。

步骤3-通过打开WSDL，我们可以看到有一种方法可以检索信用卡信息以及“ getCreditCard”。现在让我们使用Burp套件篡改输入，如下所示-

步骤4-现在让我们使用Burp套件修改输入，如下所示-

步骤5-我们可以获得其他用户的信用卡信息。

预防机制

• 由于SOAP消息基于XML，因此所有传递的凭据都必须转换为文本格式。因此，在传递必须始终加密的敏感信息时必须非常小心。

• 通过实施诸如校验和之类的机制来确保消息的完整性，从而保护消息的完整性。

• 保护消息机密性-非对称加密用于保护对称会话密钥，在许多实现中，对称会话密钥仅对一次通信有效，随后被丢弃。