BurpSuite实战十七之测试Web Services服务

最新推荐文章于 2023-10-26 15:35:50 发布
最新推荐文章于 2023-10-26 15:35:50 发布
阅读量500 收藏 1
点赞数
分类专栏: 全栈网络安全 渗透测试 代码审计 网络安全工具开发 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/125241845
版权

从这一章开始,我们进入了Burp的综合使用。通过一系列的使用场景的简单学习,逐渐熟悉Burp在渗透测试中,如何结合其他的工具,组合使用,提高工作效率。本章主要讲述在测试Web Services服务中,如何使用Burp Suite和SoapUI NG Pro的组合,对服务接口进行安全测试。

本章讲述的主要内容有:

使用场景和渗透测试环境配置

渗透测试过程中组合软件的使用

使用场景和渗透测试环境配置

在日常的web测试过程中,除了基于浏览器展现技术的客户端应用程序外,基于SOAP协议进行通信的WebService服务也很常见。WebService的出现是为了解决分布式、跨平台、低耦合而实现的不同编程语言之间采用统一的数据通信的技术规范,在应用程序中,常作为独立的业务模块对外提供具体的业务功能或者为前段提供数据处理的业务接口。因SAOP协议中的接口定义使用XML作为描述性语言,这与php、jsp之类的通信交互在渗透测试上还是有很大的差异。如果使用Burp 对通信消息进行拦截抓包,一次典型的消息内容如下图所示:

其http消息头中包含SOAPAction字段,且消息体为 

了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
基于Burpsuite安全测试十六:业务接口调用模块测试
chang_jinling的专栏
06-24 1508
基于Burpsuite安全测试十六:业务接口调用模块测试 情景1:接口调用重放测试 普通用户会提交一次订单,但是攻击者会通过抓取订单请求,进行接口调用重放,即短时间内通过Burp Suite工具的Repeater对请求进行多次重放从而生成多个订单。 系统修复方案: 对生成订单环节采用验证码机制,防止生成数据业务被恶意调用。 一个订单一个token,订单提交一次后token就失效。 ...
burpsuite安全练兵场-服务端10】XML外部实体注入(XXE注入)-9个实验(全)
最新发布
wangluoanquan111的博客
01-26 1069
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。!
自我认为挺全面的【Web Service渗透测试总结】
Jinmindong
12-16 156
Web Service是一个平台独立的、低耦合的、自包含的、基于可编程的Web的应用程序,可使用开放的XML(标准通用标记语言下的一个子集)标准来描述、发布、发现、协调和配置这些应用程序,用于开发分布式的交互操作的应用程序。Web Service技术, 能使得运行在不同机器上的不同应用无须借助附加的、专门的第三方软件或硬件, 就可相互交换数据或集成。依据Web Service规范实施的应用之间, 无论它们所使用的语言、 平台或内部协议是什么, 都可以相互交换数据。
Wsdler:适用于Burp的WSDL Parser扩展
05-10
威斯勒 适用于Burp的WSDL Parser扩展 怎么跑 从Burp App商店下载并安装。 右键单击WSDL请求,然后选择Parse WSDL Wsdler选项卡应填充SOAP请求 (较早的)博客,详细介绍了如何使用Wsdler插件: 如何编译 我使用IntelliJ来编译此插件。 但是,Eclipse也应该工作。 克隆仓库并在Intellij / Eclipse中将文件夹作为项目打开 Maven用于检索依赖关系。 因此,将pom.xml导入Maven。 对于Intellij,这应该会自动发生。 您可以通过单击窗口右侧的垂直对齐的Maven项目选项卡来查看依赖项。 现在,您应该可以编译插件了。 确保在构建时会创建一个jar文件。 在Intellij中,选择“文件”>“项目结构”>“工件”>“加号”>“ Jar”>“来自具有依赖性的模块”>“确定”,然后选中“在make上构建”
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
liaomin416100569的专栏
12-13 9922
渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况下对其渗透,相当于代码分析审计。而黑盒测试则是在对该网站系统信息不知情的情况下渗透。Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。
武装你的BurpSuite(一)
Forget_liu的博客
03-31 320
4.Logger++:Logger++插件是一款强大的日志记录工具,它可以帮助用户记录所有通过Burp Suite的请求和响应,包括HTTP、WebSocket、DNS、TLS等。9.Param Miner:Param Miner插件是一款方便的参数发现工具,可以帮助用户自动化发现Web应用程序中的参数,从而提高漏洞探测的效率。3.ActiveScan++:ActiveScan++是一款非常强大的主动式漏洞扫描器,它可以在Web应用程序中发现多种类型的漏洞,比如SQL注入、XSS攻击等。
Burp Suite 实战指南_高清电子书
04-18
Burp Suite 实战指南_最新版,适合新手进阶 高清可以复制文字。
burpsuite-实战指南-带目录可编辑.pdf
06-02
burpsuite-实战指南-带目录可编辑
burpsuite实战指南.pdf
07-02
配套博客:https://blog.csdn.net/qq_41739364/article/details/93862232
Burp Suite 实战指南
12-19
Burp Suite 实战指南 文章中的内容主要源于BurpSuite官方文档和多位国外安全大牛的经验总结
BurpSuite插件推荐
技术超强的网络安全平台
11-25 3198
实验2.2 磁盘管理及挂载与卸载 一、实验目的 (1)掌握磁盘的添加、分区和格式化操作; (2)掌握磁盘分区的挂载与卸载; 二、实验需求 (1)在虚拟机处于关机状态下,创建快照,添加1块新磁盘; (2)虚拟机开机,并以root用户访问centos7系统,对磁盘进行分区和格式化操作; (3)在root用户的根目录下创建目录,并实现对磁盘分区的挂载与卸载; 三、实验步骤 1、创建快照,虚拟机关机,添加1块容量为10G的硬盘(SCSI格式)。在添加硬盘后,请给出截图。 2、虚拟机开机,并通过root用户访问系统
soap 注入
黑战士的博客
10-26 397
soap是简单对象访问协议,用于分布式环境的基于信息交换的同行协议,描述传递信息的格式和规范,它可以用于连接web服务和客户端之间的接口,是一个可以在不同操作系统上运行的不同语言编写的程序之间的传输通信协议,格式为xml,soap消息。soap注入在webservicesoap协议,连接web服务和客户端的接口处的注入,通过在发送的soap消息参数内添加注入语句来达到注入效果。wsdl是webservice服务描述语言,用于web服务说明,它是一个xml文档,用于说明一组soap消息如何访问接口。
WSDL测试webservice接口挖掘
yggcwhat
07-10 1426
WSDL测试webservice接口挖掘
Kali——Burp Suite的使用
董哥的黑板报
09-16 9397
一、burpsuite的打开 在命令行输入burpsuite直接打开 新版本的Kali可能会出现以下提示,直接跳过 点击Next 点击Start Burp 二、使用 在Kali虚拟机环境下使用Burp Suite与Windows下使用的原理相同,见文章:https://blog.csdn.net/qq_41453285/article/details/98596950 ...
SOAP注入
weixin_50464560的博客
09-07 2111
一、soap 注入简介 因为soap注入就是在webservicesoap协议,连接web服务和客户端的接口处的注入,通过在发送的soap消息参数内添加注入语句来达到注入效果,常见的有sql注入,也有xml注入,代码注入 二、什么是soap 首先介绍webservicewebservice是一种跨平台,跨语言的规范,用于不同平台,不同语言间的交互 webservice有三要素,分别为soap,wsdl和uddl uddl用于提供发布和查询webservice方法 wsdl是webservice服务描述
软件测试笔记——19.测试方案和测试用例的区别
程序员二黑
12-05 2743
前言 在测试的面试过程中,经常会有面试官问“测试方案和测试用例的区别”。两者都是测试的产出,想要区别两者可以从下面的这些方面着手。 测试方案的定义 测试方案给出了我们必须测试的内容。测试场景就像一个抽象的测试用例。 测试方案回答“要测试什么”。 假设我们需要测试应用程序登录页面的功能。登录页面功能的测试方案如下: 测试方案示例:验证登录功能 测试用例的定义 测试用例是一个测试方案的可以是正向的或者是逆向的可执行步骤的集合,包含一组前置条件、测试数据、预期结果、后置条件和实际结果。 测试用例回答“如何测.
Burp Suite如何进行web漏洞测试
05-31
Burp Suite是一款功能强大的Web应用程序渗透测试工具,可以用于发现Web应用程序中的各种漏洞。以下是使用Burp Suite进行Web漏洞测试的一般步骤: 1. 配置Burp Suite代理:启动Burp Suite,将浏览器的代理设置为Burp Suite的代理,这样Burp Suite就可以拦截和修改浏览器发送和接收的HTTP请求和响应。 2. 扫描目标网站:使用Burp Suite的扫描功能对目标网站进行扫描,以发现可能存在的漏洞。在扫描之前,可以使用Burp Suite的目标分析工具来收集有关目标网站的信息,例如目录结构、表单、Cookie等。 3. 进行手动测试:使用Burp Suite的代理和重放功能来手动测试目标网站。手动测试可以发现一些自动化扫描工具可能会错过的漏洞,例如业务逻辑漏洞和授权问题。 4. 使用Burp Suite的其他功能:除了代理、扫描和重放功能外,Burp Suite还提供了许多其他功能,例如Intruder、Repeater、Sequencer等。这些功能可以用于深入测试目标网站,并发现更多的漏洞。 5. 生成报告和修复问题:使用Burp Suite的报告功能生成漏洞报告,并将漏洞报告发送给开发人员或管理员。然后,跟踪漏洞修复进度,并验证修复后的漏洞是否得到了修复。 需要注意的是,使用Burp Suite进行Web漏洞测试需要一定的技术水平和经验。在进行测试之前,需要了解Web应用程序的工作原理和安全机制,以及各种常见的Web漏洞类型和攻击方法。同时,测试人员也需要遵守法律和道德规范,不得进行未经授权的测试

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值