Güvenlik Testi - Web Hizmeti

Modern web tabanlı uygulamalarda, web servislerinin kullanımı kaçınılmazdır ve bunlar da saldırılara açıktır. Web hizmetleri birden fazla web sitesinden getirme talebinde bulunduğundan, geliştiricilerin bilgisayar korsanlarının herhangi bir şekilde girmesini önlemek için birkaç ek önlem alması gerekir.

Eller AÇIK

Step 1- Webgoat'ın web hizmetleri alanına gidin ve WSDL Taraması'na gidin. Şimdi başka bir hesap numarasının kredi kartı bilgilerini almamız gerekiyor. Senaryonun anlık görüntüsü aşağıda belirtildiği gibidir.

Step 2 - İlk adı seçersek, 'getFirstName' işlev çağrısı SOAP isteği xml aracılığıyla yapılır.

Step 3- WSDL'yi açarak, kredi kartı bilgilerini ve 'getCreditCard'ı almanın bir yöntemi olduğunu görebiliriz. Şimdi Burp suite kullanarak girişleri aşağıda gösterildiği gibi değiştirelim -

Step 4 - Şimdi Burp suite kullanarak girişleri aşağıda gösterildiği gibi değiştirelim -

Step 5 - Diğer kullanıcıların kredi kartı bilgilerini alabiliriz.

Önleyici Mekanizmalar

  • SOAP mesajları XML tabanlı olduğundan, geçirilen tüm kimlik bilgilerinin metin formatına dönüştürülmesi gerekir. Bu nedenle, her zaman şifrelenmesi gereken hassas bilgileri iletirken çok dikkatli olmak gerekir.

  • Paketin bütünlüğünü sağlamak için uygulanan sağlama toplamı gibi mekanizmaları uygulayarak mesaj bütünlüğünü korumak.

  • Mesaj gizliliğinin korunması - Pek çok uygulamada tek bir iletişim için geçerli olan ve daha sonra atılan simetrik oturum anahtarlarını korumak için asimetrik şifreleme uygulanır.

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved