보안 테스트-웹 서비스

최신 웹 기반 애플리케이션에서 웹 서비스의 사용은 불가피하며 공격에 취약합니다. 웹 서비스 요청은 여러 웹 사이트에서 가져 오기 때문에 개발자는 해커의 침입을 피하기 위해 몇 가지 추가 조치를 취해야합니다.

손에

Step 1− Webgoat의 웹 서비스 영역으로 이동하고 WSDL 스캐닝으로 이동합니다. 이제 다른 계좌 번호의 신용 카드 정보를 가져와야합니다. 시나리오의 스냅 샷은 다음과 같습니다.

Step 2 − 이름을 선택하면 SOAP 요청 xml을 통해 'getFirstName'함수 호출이 이루어집니다.

Step 3− WSDL을 열면 'getCreditCard'와 함께 신용 카드 정보를 검색하는 방법이 있음을 알 수 있습니다. 이제 아래와 같이 Burp 제품군을 사용하여 입력을 변조하겠습니다.

Step 4 − 이제 아래와 같이 Burp suite를 사용하여 입력을 수정하겠습니다. −

Step 5 − 다른 사용자의 신용 카드 정보를 얻을 수 있습니다.

예방 메커니즘

  • SOAP 메시지는 XML 기반이므로 전달 된 모든 자격 증명은 텍스트 형식으로 변환되어야합니다. 따라서 항상 암호화되어야하는 민감한 정보를 전달하는 데 매우주의해야합니다.

  • 패킷의 무결성을 보장하기 위해 적용된 체크섬과 같은 메커니즘을 구현하여 메시지 무결성을 보호합니다.

  • 메시지 기밀성 보호-대칭 세션 키를 보호하기 위해 비대칭 암호화가 적용됩니다. 대칭 세션 키는 많은 구현에서 하나의 통신에만 유효하며 이후에 삭제됩니다.