Sicherheitstests - Webdienst
In modernen webbasierten Anwendungen ist die Verwendung von Webdiensten unvermeidlich und sie sind auch anfällig für Angriffe. Da die Webdienste den Abruf von mehreren Websites anfordern, müssen Entwickler nur wenige zusätzliche Maßnahmen ergreifen, um jegliches Eindringen von Hackern zu vermeiden.
Hände an
Step 1- Navigieren Sie zum Webdienstbereich von Webgoat und gehen Sie zu WSDL-Scannen. Wir müssen jetzt die Kreditkartendaten einer anderen Kontonummer abrufen. Die Momentaufnahme des Szenarios ist wie unten erwähnt.
Step 2 - Wenn wir den Vornamen auswählen, erfolgt der Funktionsaufruf 'getFirstName' über die SOAP-Anfrage xml.
Step 3- Durch Öffnen der WSDL können wir feststellen, dass es eine Methode zum Abrufen von Kreditkarteninformationen sowie 'getCreditCard' gibt. Lassen Sie uns nun die Eingaben mit der Burp-Suite wie unten gezeigt manipulieren -
Step 4 - Lassen Sie uns nun die Eingaben mit der Burp-Suite wie unten gezeigt ändern. -
Step 5 - Wir können die Kreditkarteninformationen anderer Benutzer abrufen.
Vorbeugende Mechanismen
Da SOAP-Nachrichten XML-basiert sind, müssen alle übergebenen Anmeldeinformationen in das Textformat konvertiert werden. Daher muss man sehr vorsichtig sein, wenn man vertrauliche Informationen weitergibt, die immer verschlüsselt werden müssen.
Schutz der Nachrichtenintegrität durch Implementierung von Mechanismen wie der Prüfsumme, die angewendet wird, um die Integrität des Pakets sicherzustellen.
Schutz der Vertraulichkeit von Nachrichten - Zum Schutz der symmetrischen Sitzungsschlüssel, die in vielen Implementierungen nur für eine Kommunikation gültig sind und anschließend verworfen werden, wird eine asymmetrische Verschlüsselung angewendet.