Учебники

Тестирование безопасности — веб-сервис

В современных веб-приложениях использование веб-служб неизбежно, и они также подвержены атакам. Поскольку веб-сервисы запрашивают выборку с нескольких веб-сайтов, разработчики должны принять несколько дополнительных мер, чтобы избежать любого проникновения хакеров.

Руки вверх

Шаг 1 — Перейдите в область веб-сервисов Webgoat и перейдите к сканированию WSDL. Теперь нам нужно получить данные кредитной карты другого номера счета. Снимок сценария, как указано ниже.

web_services

Шаг 2 — Если мы выберем имя, вызов функции ‘getFirstName’ будет выполнен через запрос SOAP xml.

web_services1

Шаг 3 — Открыв WSDL, мы видим, что существует метод для получения информации о кредитной карте, а также «getCreditCard». Теперь давайте изменим входные данные, используя набор Burp, как показано ниже —

web_services2

Шаг 4 — Теперь давайте изменим входные данные, используя набор Burp, как показано ниже —

web_services3

Шаг 5 — Мы можем получить информацию о кредитной карте других пользователей.

Поскольку сообщения SOAP основаны на XML, все переданные учетные данные должны быть преобразованы в текстовый формат. Следовательно, нужно быть очень осторожным при передаче конфиденциальной информации, которая должна быть всегда зашифрована.

Защита целостности сообщения путем реализации таких механизмов, как контрольная сумма, применяемая для обеспечения целостности пакета.

Защита конфиденциальности сообщений. Асимметричное шифрование применяется для защиты симметричных сеансовых ключей, которые во многих реализациях действительны только для одного сеанса связи и впоследствии отбрасываются.