Тестирование безопасности - веб-сервис

В современных веб-приложениях использование веб-сервисов неизбежно, и они также подвержены атакам. Поскольку веб-службы запрашивают выборку с нескольких веб-сайтов, разработчикам приходится принимать несколько дополнительных мер, чтобы избежать любого проникновения хакеров.

Руки вверх

Step 1- Перейдите в область веб-служб Webgoat и перейдите к сканированию WSDL. Теперь нам нужно получить данные кредитной карты или другой номер счета. Снимок сценария приведен ниже.

Step 2 - Если мы выберем первое имя, вызов функции getFirstName выполняется через запрос SOAP xml.

Step 3- Открыв WSDL, мы видим, что существует метод для получения информации о кредитной карте, а также getCreditCard. Теперь давайте изменим входы с помощью набора Burp, как показано ниже -

Step 4 - Теперь давайте изменим входные данные с помощью набора Burp, как показано ниже -

Step 5 - Мы можем получить информацию о кредитных картах других пользователей.

Профилактические механизмы

  • Поскольку сообщения SOAP основаны на XML, все переданные учетные данные необходимо преобразовать в текстовый формат. Следовательно, нужно быть очень осторожным при передаче конфиденциальной информации, которая всегда должна быть зашифрована.

  • Защита целостности сообщения путем реализации таких механизмов, как контрольная сумма, применяемая для обеспечения целостности пакета.

  • Защита конфиденциальности сообщений. Асимметричное шифрование применяется для защиты симметричных ключей сеанса, которые во многих реализациях действительны только для одного сеанса связи и впоследствии отбрасываются.

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved