利用Appscan对REST Web service进行安全扫描
近年来 Web 服务应用日趋广泛,人们往往利用 Web 服务集成不同平台的应用程序,或是将公共服务通过服务接口暴露给外部用户使用。这样便为黑客利用 Web 服务攻击企业应用提供了可乘之机。本文主要介绍如何利用 Rational AppScan 检测 Web 服务的安全漏洞。
目前使用的Web service主要为基于SOAP协议和基于REST架构,而基于REST架构越来越受到欢迎。众所周知,Rational AppScan的GSC为SOAP类型的web服务安全扫描提供了很好的解决方案,这里不再介绍。
对于REST类型的web服务,通过解读IBM的官方文档,可以知道主要有两种方法:
- 对调用服务的应用程序进行手工探索调用该服务,从而进行安全扫描;
- 利用代理使用“外部流量/客户机”进行安全扫描。
对于第1点只需要按正常的应用程序扫描对调用服务的应用进行扫描即可,但是需要确认调用服务的功能,以便进行手动探索。这里调用服务的应用既可以是页面的应用也可以是移动电话等设备的app。见图1,图2
图1 配置向导
图2 手动启动
手动探索调用服务的功能后,使用“仅测试”即可。
以下介绍利用POSTMAN或者SOUPUI进行探索,利用Appscan对探索进行扫描的方法。
- 如图1 ,打开配置向导,选择“外部设备/客户机”;
- 记录代理设置,如图3:
图3 记录代理
- 这里如果本机安装了POSTMAN或者SOUPUI,则选择“该设备上的外部客户机”,如果不是在本机上,则选择第一项“远程设备”,但是选择远程设备时要保证Appscan主机与安装POSTMAN或者SOUPUI的主机在同一网络;建议将Appscan与POSTMAN或者SOUPUI安装在同一机器上。
- 记录登录,直接点击【下一步】即可,见图4:
图4 登录
5、测试策略选择Web Service:
图5 测试策略选择
6、启动外部流量记录器:
图6 外部流量记录器
7、打开POSTMAN新建工程,然后进行代理设置
图7 代理设置
8、POSTMAN中填写参数,发送请求:
图8 发送请求
9、Appscan流量记录器会显示监测到的请求信息,将全部请求探测后,点击【停止记录】,而后Appscan会自动启动扫描,扫描完毕后,扫描选项点击【仅测试】,即可进行扫描:
图9 停止流量记录
10、如果使用的是SOUPUI,则在7、8步在SOUPUI中新建REST工程,进行代理设置,输入参数执行请求,如图10、11、12,后面操作与POSTMAN相同:
图10 SOUPUI新建REST工程
图11 代理设置
图12 发送请求
11、Appscan如果在配置向导时选择“Web Service”,将POSTMAN或SOUPUI的代理配置为Appscan配置选项中的代理,而后进行手动探索,也可取得同样的效果。
图13 Appscan代理设置
以上介绍了Appscan与POSTMAN或SOUPUI配合对REST服务进行安全扫描的方法,通过该方法可以有效的利用Appscan对Restful API进行安全扫描,保证接口服务的安全性。
利用Appscan对REST Web service进行安全扫描相关推荐
- 利用PHP SOAP实现web service
一 什么是SOAP?可以做什么? SOAP 指简单对象访问协议,它是一种基于XML的消息通讯格式,用于网络上,不同平台,不同语言的应用程序间的通讯.可自定义,易于扩展.一条 SOAP 消息就是一个普通 ...
- 中间件——利用Axis 2 进行Web service开发(中英文双向翻译,中国邮政编码--地址信息查询)
问题描述: 1.利用Java Swing 或SWT 开发一桌面应用程序 2.应用程序中集成以下网站提供的的Web服务:http://www.webxml.com.cn/zh_cn/web_servic ...
- Web Service 概念
接触Web Service 不是很清除它到底是什么,能做什么用,经过查看大神们的博客,先大概了解下概念: 1.服务(service). 传统上,我们把计算机后台程序(Daemon)提供的功能,称为&q ...
- Web Service概念梳理
计算机技术难理解的很多,Web Service 对我来说就是一个很难理解的概念:为了弄清它到底是什么,我花费了两周的时间,总算有了一些收获,参考了不少网上的资料,但有些概念说法不一.我以w3c和 一些 ...
- .NET应用程序中异步调用Web Service的几种方法 come from: veryhappy(wx.net)
测试程序界面 图一,调用前界面 图二,调用后界面 详细代码实现 闲言少叙,直接进入主题吧.首先一个声明一个类(将来在客户端与服务器间传递): public class Class1 { ...
- 利用SoapUI 测试web service的一些问题总结
总结两个利用SoapUI 测试web service的一些问题: 1.请求一个soap service 请求的时候:按照下面的配置输入请求地址后, 2.根据实际service接口的需要,传入相应的参数 ...
- 利用SoapUI 测试web service的方法介绍
http://boyun.sh.cn/blog/?p=1076 1. 简介 SoapUI是用java开发的测试web service的工具. 2. 安装 2.1. 下载地址 http://www.so ...
- 利用SoapHeader验证web service调用的合法性(dwonmoon)
本文主要通过示例介绍利用SoapHeader验证web service调用的合法性, 一建立Web service项目,新建一个APIService.asmx 其后台代码如下 using System ...
- 利用IDEA部署过的Tomcat开发Web Service
(1)使用idea开发一个Web Service: (2)开发一个客户端来调用该Web Service并展现出相应j结果: (3)编程调用网络上提供的天气预报Web Service并显示结果. (1) ...
最新文章
- ZH奶酪:Java调用NLPIR汉语分词系统
- 手机突然电量消耗很快_手机突然出现这些故障!我来教你快速解决!
- golang ffmpeg 做网络直播
- 【Verilog语法】读文件
- linux salt生成,51CTO博客-专业IT技术博客创作平台-技术成就梦想
- Windows 10中国定制版完工!更专业
- 物流配送系统设计java,ZigBee物流配送系统设计
- grafana mysql插件_grafana插件动态数据
- 虚拟机和电脑共享文件夹
- 如何对金蝶kis进行结转损益操作
- 实时增量学习在云音乐直播推荐系统中的工程实践
- IntelliJ IDEA 2017完全破解方法
- 计算冲突域和广播域的方法
- 华为认证HCNE考试知识点
- Word中如何制作红头文件?学会技巧提高工作效率
- 静观花开花落,笑看云卷云舒
- 域名Goldrush第6部分-追溯到未来?
- HTML如何实现按钮点击后提示确认和取消的功能
- Unity 抛物线 弹道(三)终结篇
- 【技巧】Python找不到指定的模块可能需要安装VC_redist(微软公司出的C++库)