Soap注入漏洞发现

最新推荐文章于 2023-07-20 17:19:52 发布
最新推荐文章于 2023-07-20 17:19:52 发布
阅读量1.8k 收藏
点赞数
分类专栏: 漏洞介绍 文章标签: sql
原文链接:https://mp.weixin.qq.com/s?__biz=MzUyMTA0MjQ4NA==&mid=2247484090&idx=1&sn=f4bc3740e80ca2112c1e49c269edd8ea&chksm=f9e06de1ce97e4f7d513d44db51fec4633a5d056a9ef98fef69ac4ebd076fa30bda90e279cb2&token=260591570&lang=zh_CN#rd
版权

漏洞发现:

打开ZoomEye,搜索:“asmx  country:cn”。

点进去一个IP:加端口。例如:

图片

然后随意打开里面一文件

图片

然后在改页面后面添加”?WSDL”,如图:

打开WVS扫描器:

按照下面步骤:

将上面的URL输入到 WSDL URL框里:

一路next

开始扫描,发现了一个SQL注入。

如图:

图片

至此,我们发现了SQL注入漏洞,如果没有发现别灰心,还有其他的asmx文件夹,也可以按照上面的方法,一个一个试。

有些网站多的话,10个8个asmx类型文件都有,一个一个来慢慢扫,耐心~。

发现漏洞总结:1、耐心,有可能有洞的地方都不要遗漏,做好记录

      2、有些服务器扫不动,就先放着

      3、Zoomeye是个好东西,更多“暗物质”有待发现

学习更多网络安全技术,欢迎关注‘LemonSec’

 

 

Taurus-0531-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SOAP注入
hackzkaq的博客
03-21 5198
零基础学黑客,搜索公众号:白帽子左一 soap 注入简介 soap注入就是在webservice 的soap协议,连接web服务和客户端的接口处的注入,通过在发送的soap消息参数内添加注入语句来达到注入效果,常见的有sql注入,也有xml注入,代码注入 什么是soap 首先介绍webservice,webservice是一种跨平台,跨语言的规范,用于不同平台,不同语言间的交互,webservice有三要素,分别为soap,wsdl和uddl,uddl用于提供发布和查询webservice方法,wsdl
漏洞复现】SOAP WSDL解析器代码注入漏洞(CVE-2017-8759)
VI___
01-10 4513
一、CVE-2017-8759 ——类型:.NET Framework漏洞 https://www.freebuf.com/articles/system/147602.html 二、准备 攻击机:kali-2019 192.168.75.149 靶机:win7_x86(关闭防火墙) 192.168.75.139 三、复现过程 1、下载 exp,并将 cm...
(39.3)【XML漏洞专题】XML注入——查找、注入、防止SOAP
08-20 1980
【XML漏洞专题】XML注入——查找、注入、防止SOAP
针对SOAP的渗透测试与防护
weixin_33841503的博客
08-01 1517
SOAP概述 简单对象访问协议(SOAP)是连接或Web服务或客户端和Web服务之间的接口。SOAP通过应用层协议(如HTTP,SMTP或甚至TCP)进行操作,用于消息传输。 图1 SOAP操作 它是基于xml语言开发的,它使用Web服务描述语言(WSDL)来生成Web服务之间的接口。如果客户端或用户的独立应用程序想要与Web服务连接,则它需要由应用程...
soap漏洞_SOAP路由绕行漏洞
cullen2012的博客
09-11 1192
soap漏洞 描述 ( Description ) The WS-Routing Protocol is a protocol for exchanging SOAP messages from an initial message sender to receiver, typically via a set of intermediaries. The WS-Routing protoco...
测试SOAP注入.docx
09-06
SOAP 注入攻击及检测方法 SOAP(Simple Object Access Protocol,简单对象访问协议)是一种使用 XML 格式封装数据、基于消息的通信技术。...通过以上步骤,可以检测出 SOAP 注入漏洞,从而保护应用程序免受攻击。
计算机网络安全web漏洞扫描工具
04-01
量身定制的Web安全设备往往不够测试出一些还发现漏洞,因此容易成为黑客攻击目标。 Acunetix -在全世界范围内领先的网络应用安全设备 Acunetix开创了网络应用安全扫描技术:它的工程师们潜心研究网络安全。早...
Acunetix Web Vulnerability Scanner( 简称AwVS )是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测
05-03
b)、业内最先进且深入的SQL 注入和跨站脚本测试 c)、高级渗透测试工具,例如HTTP Editor 和HTTP Fuzzer d)、可视化宏记录器帮助您轻松测试web表格和受密码保护的区域 e)、支持含有CAPTHCA的页面,单个开始指令和Two ...
网站安全漏洞检测工具Acunetix Web Vulnerability Scanner 6.5英文版
07-10
是一个英文版的网络安全扫描工具,Web开发人员可以利用这个软件来检测自己开发的漏洞,英文不好的开发人员请从网站搜索它的相关操作文档,它具有以下功能: ◆AcuSensor 技术 ◆自动的客户端脚本分析器,允许对 Ajax...
Acunetix Web Vulnarability Scanner 11.0.17095.1158 Retail
07-18
- DeepScan技术可以准确地爬行使用诸如SOAP / WSDLSOAP / WCF,REST / WADL,XML,JSON,Google Web Toolkit(GWT)和CRUD操作等复杂技术的AJAX重型客户端单页应用(SPA) 。 - 业界最先进和最强大的SQL注入和跨...
基于SOAP消息组合变异的web服务漏洞测试
04-27
基于SOAP消息组合变异的web服务漏洞测试 相关知识
Web+Services+Testing+with+soapUI(英文,慎下)
07-24
web services testing soapUI,接口测试
从2022安洵杯[babyPHP]看Soap+CLRF造成SSRF漏洞
Aiwin的博客
11-28 2495
Soap+CLRF组合拳造成SSRF漏洞以及例题2022安洵杯 BabyPHP、[LCTF 2018]bestphp's revenge。
解决cxf Available SOAP services暴漏其他接口
J.G.Darkd
06-30 3575
[code="java"] CXFServlet org.apache.cxf.transport.servlet.CXFServlet Hides the listing of available services when set to true. It is considered a security...
接口漏洞-WebService-wsdl+SOAP-Swagger+HTTP-WebPack
xiaoheizi的博客
07-20 3655
接口就是位于复杂系统之上并且能简化你的任务,它就像一个中间人让你不需要了解详细的所有细节。像谷歌搜索系统,它提供了搜索接口,简化了你的搜索任务。再像用户登录页面,我们只需要调用我们的登录接口,我们就可以达到登录系统的目的。 接口拥有各种功能,如:文件上传,查询,添加,删除,登录等等。我们就可以在这些接口上测试该功能漏洞
【技术分享】针对SOAP的渗透测试与防护
baynk的博客
04-12 2413
本文翻译自:https://blog.securelayer7.net/owasp-top-10-penetration-testing-soap-application-mitigation/ SOAP概述 简单对象访问协议(SOAP)是连接或Web服务或客户端和Web服务之间的接口。SOAP通过应用层协议(如HTTP,SMTP或甚至TCP)进行操作,用于消息传输。 图1 SOAP操...
自我认为挺全面的【Web Service渗透测试总结】
HBohan的博客
02-18 714
Web Service是一个平台独立的、低耦合的、自包含的、基于可编程的Web的应用程序,可使用开放的XML(标准通用标记语言下的一个子集)标准来描述、发布、发现、协调和配置这些应用程序,用于开发分布式的交互操作的应用程序。
soap wsdl 漏洞
最新发布
09-07
SOAP是一种基于XML的协议,用于在计算机网络上交换结构化的和适应性强的信息。而WSDL(Web Services Description Language)是用于描述web服务的XML格式文件,它定义了web服务的接口、消息格式和协议细节等信息。虽然SOAPWSDL是非常有用和广泛使用的技术,但它们也可能存在一些漏洞和安全隐患。 首先,通过SOAPWSDL,攻击者可能能够进行信息泄露。具体而言,如果服务提供者在WSDL文件中错误地将敏感信息包含在消息定义中,那么攻击者可以通过查看WSDL文件来获取这些敏感信息,从而导致信息泄露的风险。 其次,使用SOAPWSDL服务时,也可能存在数据篡改的风险。攻击者可能会篡改SOAP消息或WSDL文件中的内容,以修改请求或响应的数据内容。这可能导致数据的错误处理、误导、篡改或破坏。 此外,SOAPWSDL也可能受到拒绝服务(DoS)攻击的风险。攻击者可以发送大量的恶意请求,使服务过载或不可用。这可能会导致服务延迟或完全中断,从而影响服务的可用性和稳定性。 为了解决这些漏洞和提高SOAPWSDL的安全性,我们可以采取一些措施。首先,服务提供者应该在WSDL文件中避免包含敏感信息,并确保对外部用户隐藏所有不必要的细节。其次,使用消息验证技术(如数字签名和加密)来保证数据的完整性和机密性。最后,实施适当的访问控制和流量限制机制,以应对拒绝服务攻击。 综上所述,虽然SOAPWSDL是强大的技术,但它们也可能存在漏洞和安全隐患。因此,在使用它们时,我们必须采取一些安全措施来减少潜在的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值