- 安全测试教程
- 安全测试 - 主页
- 安全测试 - 概述
- 安全测试 - 流程
- 安全测试-恶意软件
- HTTP 协议基础知识
- HTTPS 协议基础知识
- 编码与解码
- 安全测试-密码学
- 安全测试 - 同源策略
- 安全测试 - Cookie
- 黑客网络应用程序
- 安全测试-注入
- 测试损坏的身份验证
- 测试跨站脚本
- 不安全的直接对象引用
- 测试安全配置错误
- 测试敏感数据暴露
- 缺少功能级别访问控制
- 跨站请求伪造
- 有漏洞的组件
- 未经验证的重定向和转发
- 安全测试 - Ajax 安全
- 测试安全性 - Web 服务
- 安全测试 - 缓冲区溢出
- 安全测试 - 拒绝服务
- 测试恶意文件执行
- 安全测试 - 自动化工具
- 安全测试有用的资源
- 安全测试 - 快速指南
- 安全测试 - 有用的资源
- 安全测试 - 讨论
安全测试 - Web 服务
在现代基于 Web 的应用程序中,Web 服务的使用是不可避免的,并且它们也容易受到攻击。由于 Web 服务请求从多个网站获取数据,因此开发人员必须采取一些额外措施以避免黑客的任何形式的渗透。
动手
步骤 1 - 导航到 Webgoat 的 Web 服务区域并转到 WSDL 扫描。我们现在需要获取其他帐号的信用卡详细信息。该场景的快照如下所述。
步骤 2 - 如果我们选择名字,则通过 SOAP 请求 xml 进行“getFirstName”函数调用。
步骤 3 - 通过打开 WSDL,我们可以看到有一个方法可以检索信用卡信息以及“getCreditCard”。现在让我们使用 Burp 套件篡改输入,如下所示 -
步骤 4 - 现在让我们使用 Burp 套件修改输入,如下所示 -
步骤 5 - 我们可以获得其他用户的信用卡信息。
预防机制
由于 SOAP 消息是基于 XML 的,因此所有传递的凭据都必须转换为文本格式。因此,在传递必须始终加密的敏感信息时必须非常小心。
通过实施校验和等机制来确保数据包的完整性,从而保护消息的完整性。
保护消息机密性 - 应用非对称加密来保护对称会话密钥,在许多实现中,对称会话密钥仅对一次通信有效,随后会被丢弃。