- 安全测试教程
- 安全测试 - 首页
- 安全测试 - 概述
- 安全测试 - 流程
- 安全测试 - 恶意软件
- HTTP协议基础
- HTTPS协议基础
- 编码和解码
- 安全测试 - 密码学
- 安全测试 - 同源策略
- 安全测试 - Cookie
- 黑客攻击Web应用程序
- 安全测试 - 注入
- 测试身份验证漏洞
- 测试跨站点脚本攻击
- 不安全的直接对象引用
- 测试安全配置错误
- 测试敏感数据泄露
- 缺少功能级访问控制
- 跨站点请求伪造
- 存在漏洞的组件
- 未经验证的重定向和转发
- 安全测试 - Ajax安全
- 测试安全 - Web服务
- 安全测试 - 缓冲区溢出
- 安全测试 - 拒绝服务
- 测试恶意文件执行
- 安全测试 - 自动化工具
- 安全测试有用资源
- 安全测试 - 快速指南
- 安全测试 - 有用资源
- 安全测试 - 讨论
安全测试 - Web服务
在现代基于Web的应用程序中,Web服务的使用是不可避免的,它们也容易受到攻击。由于Web服务请求来自多个网站,因此开发人员必须采取一些额外的措施,以避免黑客的任何渗透。
动手操作
步骤1 - 导航到Webgoat的Web服务区域并转到WSDL扫描。我们现在需要获取其他一些帐号的信用卡详细信息。场景的快照如下所示。
步骤2 - 如果我们选择名字,则通过SOAP请求xml进行'getFirstName'函数调用。
步骤3 - 通过打开WSDL,我们可以看到也有一种方法可以检索信用卡信息'getCreditCard'。现在让我们使用Burp suite篡改输入,如下所示 -
步骤4 - 现在让我们使用Burp suite修改输入,如下所示 -
步骤5 - 我们可以获取其他用户的信用卡信息。
预防机制
由于SOAP消息是基于XML的,因此所有传递的凭据都必须转换为文本格式。因此,在传递必须始终加密的敏感信息时,必须非常小心。
通过实施诸如应用于确保数据包完整性的校验和之类的机制来保护消息完整性。
保护消息机密性 - 应用非对称加密来保护对称会话密钥,在许多实现中,这些密钥仅对一次通信有效,随后会被丢弃。
广告