セキュリティテスト-Webサービス

最新のWebベースのアプリケーションでは、Webサービスの使用は避けられず、攻撃を受ける傾向もあります。Webサービスは複数のWebサイトからのフェッチを要求するため、開発者はハッカーによる侵入を回避するために、いくつかの追加の対策を講じる必要があります。

ハンズオン

Step 1− WebgoatのWebサービス領域に移動し、WSDLスキャンに移動します。他のアカウント番号のクレジットカードの詳細を取得する必要があります。シナリオのスナップショットは以下のとおりです。

Step 2 −名を選択すると、「getFirstName」関数呼び出しはSOAPリクエストxmlを介して行われます。

Step 3− WSDLを開くと、クレジットカード情報を取得するメソッド「getCreditCard」があることがわかります。次に、以下に示すように、BurpSuiteを使用して入力を改ざんしましょう。

Step 4 −次に、以下に示すように、BurpSuiteを使用して入力を変更しましょう。

Step 5 −他のユーザーのクレジットカード情報を取得できます。

予防メカニズム

  • SOAPメッセージはXMLベースであるため、渡されたすべての資格情報をテキスト形式に変換する必要があります。したがって、常に暗号化する必要のある機密情報を渡す際には、細心の注意を払う必要があります。

  • パケットの整合性を確保するために適用されるチェックサムなどのメカニズムを実装することにより、メッセージの整合性を保護します。

  • メッセージの機密性の保護-非対称暗号化は、対称セッションキーを保護するために適用されます。これは、多くの実装で1つの通信に対してのみ有効であり、その後破棄されます。