本文介绍了如何利用Burp Suite和SoapUI NG Pro进行Web Services接口的安全测试。Burp Suite作为代理拦截通信,而SoapUI NG Pro负责发起测试并解析消息。通过设置代理,配置二者配合工作,对SOAP协议进行渗透测试,检测如SQL注入、XPath注入等漏洞。
黑白网(heibai.org)成立于2014年,多年来以其专业的视角,优质的服务为广大安全技术爱好者提供了目前国内最全的网络安全技术学习资料,普及中国网络安全知识,宣扬正确的黑客极客文化,全方面提高国内安全技术水平。
Burp Suite
Burp Suite 从这一章开始,我们进入了Burp的综合使用。通过一系列的使用场景的简单学习,逐渐熟悉Burp在渗透测试中,如何结合其他的工具,组合使用,提高工作效率。本章主要讲述在测试Web Services服务中,如何使用Burp Suite和SoapUI NG Pro的组合,对服务接口进行安全测试。 本章讲述的主要内容有:使用场景和渗透测试环境配置
渗透测试过程中组合软件的使用
使用场景和渗透测试环境配置
在日常的web测试过程中,除了基于浏览器展现技术的客户端应用程序外,基于SOAP协议进行通信的WebService服务也很常见。WebService的出现是为了解决分布式、跨平台、低耦合而实现的不同编程语言之间采用统一的数据通信的技术规范,在应用程序中,常作为独立的业务模块对外提供具体的业务功能或者为前段提供数据处理的业务接口。因SAOP协议中的接口定义使用XML作为描述性语言,这与php、jsp之类的通信交互在渗透测试上还是有很大的差异。如果使用Burp 对通信消息进行拦截抓包,一次典型的消息内容如下图所示:
其http消息头中包含SOAPAction字段,且消息体为封装的xml文本(更多关于WebService的文章请阅读者自行搜索)。正因为WebService这些特征&
最低0.47元/天 解锁文章
扫一扫
542
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
