(45.5)【API接口漏洞】API接口之Web Service测试工具Soap UI PRO、SOAPSonar、Burp Suite、WSSAT、WS-Attacker

最新推荐文章于 2024-06-05 12:04:23 发布
最新推荐文章于 2024-06-05 12:04:23 发布
阅读量2.8k 收藏 7
点赞数 2
分类专栏: 0X01【web安全】从0到1 文章标签: 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53079406/article/details/124640326
版权

目录

一、Soap UI PRO

1.1、介绍:

1.2、下载:

1.2.1、官网下载(需付费):

1.2.2、网站下载(节约经济):

1.2.3、GitHub(最新、开源、需自己搭建):

二、SOAPSonar

 2.1、介绍:

 2.2、下载:

三、Burp Suite

四、WSSAT - Web Service Security Assessment Tool

4.1、介绍:

 4.2、下载:

4.3、配置:

4.3.1、WSSAT 开发环境‎

4.3.2、要求‎

4.3.3、WSSAT 安装‎

五、WS-Attacker

5.1、介绍:

5.2、功能:

 5.3、下载:

5.3.1、直接获取JAR文件

5.3.2、下载地址(GitHub):

5.4、功能:

5.4.1、‎动态测试:‎

5.4.2、‎静态分析:‎

‎5.4.3、信息泄露:‎

5.4.4、‎WSSAT的主要模块:‎

5.5、测试内容:

 (没有不透风的接口)

一、Soap UI PRO

1.1、介绍:

soapUI pro(商业非开源版本),soapUI Free(开源)

(自动化测试)创建、管理、执行REST,SOAP和GRAPHQL API,JMS,JDBC和其他Web服务上的端到端测试(容易上手)

通过soap/http来检查、调用、实现Web Service的功能测试、负载测试、互操作性测试、回归测试、符合性测试等。该工具既可作为一个单独的测试软件使用,也可利用插件集成到Eclipse,maven2.X,Netbeans 和intellij中使用

1.2、下载:

1.2.1、官网下载(需付费):

The World's Most Popular API Testing Tool | SoapUIicon-default.png?t=M3K6https://www.soapui.org/

1.2.2、网站下载(节约经济):

建议支持正版,但是资金有限,就可以在网上下载pojie版的

1.2.3、GitHub(最新、开源、需自己搭建):

SmartBear/soapui: SoapUI is a free and open source cross-platform functional testing solution for APIs and web services. (github.com)icon-default.png?t=M3K6https://github.com/SmartBear/soapui虽然是最新的,但是需要自己把环境搭建好

二、SOAPSonar

 2.1、介绍:

提供服务测试、诊断解决方案(综合的测试解决方案),在服务开发的整个周期中都可使用其功能。

是基于HTTP,HTTPS, MQ 和 JMS协议的SOAP, XML, 和REST服务提供简单、直观和综合的测试。SOAPSonar测试框架容易部署,且不需要SOAP,XML,或者 WSDL的背景知识。创建更复杂的测试任务(功能、性能、认证、一致性和安全性测试)

 2.2、下载:

下载地址(官网):

SOAPSonar | Crosscheck Networksicon-default.png?t=M3K6http://www.crosschecknet.com/products/soapsonar/

三、Burp Suite

 各模块分析使用

(接口这块,使用Postman会显得更专业)

Burpsuite【十二模块一次解决】【这都不看?】Filter、Target、Scanner、Proxy、Intruder、Repeater、Sequencer、Decoder、Comparer…icon-default.png?t=M3K6https://blog.csdn.net/qq_53079406/article/details/123590641?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165201640416782246430821%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165201640416782246430821&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-2-123590641-null-null.nonecase&utm_term=burp&spm=1018.2226.3001.4450

四、WSSAT - Web Service Security Assessment Tool

4.1、介绍:

Web 服务安全分析‎

通过报告查看整体安全评估‎

强化其 Web 服务‎

开源的Web服务安全扫描工具,它提供了一个动态环境,只需编辑其配置文件即可添加,更新或删除漏洞。此工具接受 WSDL 地址列表作为输入文件,对于每个服务,它对安全漏洞执行静态和动态测试。它还进行信息披露控制。使用此工具,可以立即分析所有Web服务,并且组织可以看到整体安全评估。‎

 4.2、下载:

下载地址(GitHub):

YalcinYolalan/WSSAT: WEB SERVICE SECURITY ASSESSMENT TOOL (github.com)icon-default.png?t=M3K6https://github.com/YalcinYolalan/WSSAT

4.3、配置:

4.3.1、WSSAT 开发环境‎

C#    
Microsoft Visual Studio Community Edition 2017 (https://www.visualstudio.com/downloads/)

4.3.2、要求‎

Windows OS (7 or later)
.Net Framework 4.7 (https://www.microsoft.com/en-us/download/details.aspx?id=55170)

4.3.3、WSSAT 安装‎

Step 1:

Download the WSSAT folder and copy/extract it to your Windows computer

Step 2:

Go to WSSAT WSSAT\WSSAT\bin\Debug folder (Read/Write permission is required to generate report, log etc.)

Step 3:

Double click WSSAT.exe

五、WS-Attacker

5.1、介绍:

WS-Attacker 是一个用于 Web 服务渗透测试的模块化框架。

‎WS-Attacker 背后的基本思想是提供一种功能来加载 WSDL 文件并将 SOAP 消息发送到 Web 服务终结点(使用底层 SoapUI 框架执行)。可以使用各种插件和库来扩展此功能,以构建特定的 Web 服务攻击。

5.2、功能:

WS-Attacker 支持以下攻击:

 5.3、下载:

5.3.1、直接获取JAR文件

WS-Attacker - Browse Files at SourceForge.neticon-default.png?t=M3K6https://sourceforge.net/projects/ws-attacker/files/

5.3.2、下载地址(GitHub):

RUB-NDS/WS-Attacker: WS-Attacker is a modular framework for web services penetration testing. It is developed by the Chair of Network and Data Security, Ruhr University Bochum (https://nds.rub.de/ ) and the Hackmanit GmbH (https://www.hackmanit.de/). (github.com)icon-default.png?t=M3K6https://github.com/RUB-NDS/WS-AttackerGITHub的源代码需要自己构建

  • Java 7 or higher
  • maven
  • git

5.4、功能:

5.4.1、‎动态测试:‎

  • ‎不安全的通信 - 未使用 SSL‎
  • ‎未经身份验证的服务方法‎
  • ‎基于错误的 SQL 注入‎
  • ‎跨站点脚本‎
  • ‎XML 炸弹‎
  • ‎外部实体攻击 - XXE‎
  • ‎XPATH 注入‎
  • ‎HTTP 选项方法‎
  • ‎跨站点跟踪 (XST)‎
  • ‎缺少 X-XSS 保护标头‎
  • ‎详细的 SOAP 错误消息‎

5.4.2、‎静态分析:‎

  • ‎弱 XML 架构:无限次‎
  • ‎弱 XML 架构:未定义的命名空间‎
  • ‎弱 WS-安全策略:不安全的传输‎
  • ‎WS 安全策略薄弱:支持令牌保护不足‎
  • ‎弱 WS-Security 策略:令牌不受保护‎

‎5.4.3、信息泄露:‎

  • ‎服务器或技术信息泄露‎

5.4.4、‎WSSAT的主要模块:‎

  • ‎解析器‎
  • ‎漏洞加载程序‎
  • ‎分析器/攻击者‎
  • ‎记录‎
  • ‎报告生成器‎

5.5、测试内容:

  • ‎模糊‎
  • ‎XSS /SQLi/ 格式错误的 XML‎
  • ‎文件上传‎
  • ‎X径注射‎
  • ‎XML 炸弹 (DoS)‎
  • ‎基于身份验证的攻击‎
  • ‎重放攻击‎
  • ‎会话固定‎
  • ‎XML 签名包装‎
  • ‎会话超时‎
  • ‎主机密码支持/有效证书/协议支持‎
  • ‎哈希算法支持‎

黑色地带(崛起)
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Burp Suite 开放了新的数据库打通 API 接口,快速辅助渗透测试.zip
09-24
Burp Suite 开放了新的数据库打通 API 接口,快速辅助渗透测试。.zip,基于vulners.com搜索api漏洞扫描
burp-extender-api-kotlin:Burp Extender API-非官方的Kotlin版本
04-30
有关确切的详细信息,请参见以下提交:更新将扩展加载到Burp时,需要访问IntelliJ转换后的文件,才能访问伴随对象中的常量例如,包含的测试文件burp-kotlin-test-interface-constants.kt将作为独立的Jar工作,但在...
API 接口渗透测试
YLF123456789000的博客
03-21 1210
参数可以是用户名、用户 ID,连续的数字,变形的连续数字(各种编码或哈希),通过直接修改参数值完成越权的操作。主要使用 Soap UI Open Source,有安全测试Case,需要配置 SOAP 代理到 Burp,数据流,现在的版本是5.4.0。Web Service 是一种服务导向架构的技术,通过标准的Web协议提供服务,目的是保证不同平台的应用服务可以互操作。此类模式和架构的应用越来越多导致 API 接口的应用也越来越流行。XXE,Restful API 的注入漏洞,XSS,溢出,特殊字符的处理。
API 安全测试(偏渗透测试
最新发布
hide_in_darkness的博客
06-05 1617
API,全称为Application Programming Interface(应用程序编程接口),是一套预先定义的函数、协议和工具的集合,用于构建软件应用。API定义了软件组件之间如何相互通信,它允许不同的软件系统之间进行交互,而无需开发者了解这些系统的具体实现细节。随着数字化转型的深入,API产品的价值日益增高,特别是与微服务、DevOps等技术的融合,使得API成为企业战略发展加速的利器。​ 我们以家庭宽带异常作为例子更加形象的向大家介绍一下 API
API漏洞检测研究
无痕的博客
07-19 1442
用于API漏洞检测的工具
2024年API接口渗透测试_api接口,泄漏服务器版本信息吗(2),2024年最新一位软件测试大牛的BAT面试心得与经验总结
2401_84141337的博客
05-08 936
爬虫。
漏洞扫描软件Burp-Suite-Pro-v1.7.37
06-16
Burp是一款用于Web应用程序安全测试的工具,它可以拦截、修改和重放HTTP请求,以便发现应用程序中的漏洞Burp还提供了许多其他功能,如漏洞扫描、代理服务器、自动化测试和报告生成。它被广泛用于渗透测试、代码...
burp-unauth-checker:burpsuite扩展程序,用于检查未经授权的漏洞
04-15
burp-unauth-checker概述自动化检测未授权访问漏洞关于该插件的实现细节,参考快速开始使用时需要勾选launchBurpUnauthChecker,建议在测试需要授权访问的功能时才开启(如网站后台)authParams.cfg:存储授权参数,...
java采购系统软件源码-burp-rest-api:BurpSuite安全工具的REST/JSONAPI
06-05
java采购系统软件源码打嗝-休息-api 概述 安全工具的 REST/JSON API。 自 2016 年首次提交以来, ...使用./burp-rest-api.sh或./burp-rest-api.bat引导系统,具体取决于操作系统 配置 默认情况下,Bur
http api 接口测试工具
12-10
1 可以设置多个服务器地址 2 可以保存多个配置脚本 3 可以配置每个脚本的变量,并且保存上次测试变量值 使用说明: 1 配置web服务器地址后,点击后面的添加按钮 比如输入web服务器地址:http://127.0.0.1/report 2 配置http aip接口脚本和参数,点击添加按钮 例如配置httpapi脚本:test.php 配置httpapi参数:ss,cn,type 3 执行 选择相应的服务器地址 选择相应的api脚本名称 输入相应的提交参数值
Burp-Suite-Pro-v2021.9-Loader-Keygen.zip
03-23
Burp-Suite-Pro-v2021.9-Loader-Keygen.zip
【精选推荐】3款强大的API渗透测试工具
小司机的奥拓
01-27 1775
给大家介绍三款优秀的API渗透测试工具,这三款工具都是基于开源项目,拥有强大的功能和丰富的特性,让我们一起来看看吧!
Dex文件格式扫描器:特征API的检测和扫描(小工具一枚)
Rorschach:Blog
03-13 2912
之前由于工作需求,会分析大量APP的某些特殊API,对特殊API分析每次都需要打开JEB->查找特定API->分析流程….无奈APP是无穷的,而精力是有限的。于是发挥了人类最本能的天性——偷懒,既然想偷懒了,就让计算机帮助分析,于是写了个小工具来做上面的需求。其实不外乎就是对Dex文件格式的解析,然后根据API特征进行扫描,把调用的类和方法输出,接下来就会针对输出的信息,在逐个分析利用。既然是解析刚
关于API安全以及开源测试工具
feilovefly的博客
01-18 1015
API(ApplicationProgramming Interface)允许应用程序彼此交互,是现代软件模式的基本组成部分,例如微服务架构。由于API很常用且可以访问敏感的软件功能和数据,因此它们正成为攻击者的主要目标。API安全已成为现代web应用安全的关键组成部分。API可能存在诸如身份验证和授权失效、缺乏限速以及代码注入等漏洞,组织必须定期测试API来识别漏洞,并使用安全最佳实践来解决这些漏洞
漏洞发现-API接口服务之漏洞探针类型利用修复(45)
san3144393495的博客
09-10 574
这里能探针到开放的端口,可以判断出端口的所属类型,这里涉及到证明检测,然后是证明利用可以对端口进行攻击,端口服务开发这个端口,可以对这个端口进行攻击的。apl接口,主要针对应用上面的接口,有支付的,有订单的各种各样的端口,最后一个就是补充的知识点补充的知识点就是信息收集的最大化,#端口服务安全测试思路。
漏洞发现-4】API接口服务之漏洞探针利用修复
qq_41889600的博客
12-19 332
小迪安全 api接口
漏洞发现-API接口服务之漏洞探针类型利用修复
xhscxj的博客
02-16 1262
测试思路 信息收集之信息利用 第一步:首先识别网站是否有cdn,waf等产品,有则绕过。 第二步:扫描收集到网站的端口信息,真实ip地址,ip绑定的其他域名。 第三步:网站敏感路径扫描 第四步:域名+端口敏感信息扫描 第五步:ip+端口敏感目录扫描 备注:字典不应该只是敏感路径,还应该有备份文件 zip rar tar tar.gz等格式文件 端口服务类安全测试 根据前期信息收集针对目标端口服务类探针后进行的安全测试,主要涉及攻击方法:口令安全,WEB漏洞,版本漏洞等,其中产生的危害可大可小。属于.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值