(45.5)【API接口漏洞】API接口之Web Service测试工具Soap UI PRO、SOAPSonar、Burp Suite、WSSAT、WS-Attacker
目录
一、Soap UI PRO
1.1、介绍:
1.2、下载:
1.2.1、官网下载(需付费):
1.2.2、网站下载(节约经济):
1.2.3、GitHub(最新、开源、需自己搭建):
二、SOAPSonar
2.1、介绍:
2.2、下载:
三、Burp Suite
四、WSSAT - Web Service Security Assessment Tool
4.1、介绍:
4.2、下载:
4.3、配置:
4.3.1、WSSAT 开发环境
4.3.2、要求
4.3.3、WSSAT 安装
五、WS-Attacker
5.1、介绍:
5.2、功能:
5.3、下载:
5.3.1、直接获取JAR文件
5.3.2、下载地址(GitHub):
5.4、功能:
5.4.1、动态测试:
5.4.2、静态分析:
5.4.3、信息泄露:
5.4.4、WSSAT的主要模块:
5.5、测试内容:
(没有不透风的接口)
一、Soap UI PRO
1.1、介绍:
soapUI pro(商业非开源版本),soapUI Free(开源)
(自动化测试)创建、管理、执行REST,SOAP和GRAPHQL API,JMS,JDBC和其他Web服务上的端到端测试(容易上手)
通过soap/http来检查、调用、实现Web Service的功能测试、负载测试、互操作性测试、回归测试、符合性测试等。该工具既可作为一个单独的测试软件使用,也可利用插件集成到Eclipse,maven2.X,Netbeans 和intellij中使用
1.2、下载:
1.2.1、官网下载(需付费):
The World's Most Popular API Testing Tool | SoapUIhttps://www.soapui.org/
1.2.2、网站下载(节约经济):
建议支持正版,但是资金有限,就可以在网上下载pojie版的
1.2.3、GitHub(最新、开源、需自己搭建):
SmartBear/soapui: SoapUI is a free and open source cross-platform functional testing solution for APIs and web services. (github.com)https://github.com/SmartBear/soapui虽然是最新的,但是需要自己把环境搭建好
二、SOAPSonar
2.1、介绍:
提供服务测试、诊断解决方案(综合的测试解决方案),在服务开发的整个周期中都可使用其功能。
是基于HTTP,HTTPS, MQ 和 JMS协议的SOAP, XML, 和REST服务提供简单、直观和综合的测试。SOAPSonar测试框架容易部署,且不需要SOAP,XML,或者 WSDL的背景知识。创建更复杂的测试任务(功能、性能、认证、一致性和安全性测试)
2.2、下载:
下载地址(官网):
SOAPSonar | Crosscheck Networkshttp://www.crosschecknet.com/products/soapsonar/
三、Burp Suite
各模块分析使用
(接口这块,使用Postman会显得更专业)
Burpsuite【十二模块一次解决】【这都不看?】Filter、Target、Scanner、Proxy、Intruder、Repeater、Sequencer、Decoder、Comparer…https://blog.csdn.net/qq_53079406/article/details/123590641?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165201640416782246430821%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165201640416782246430821&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-2-123590641-null-null.nonecase&utm_term=burp&spm=1018.2226.3001.4450
四、WSSAT - Web Service Security Assessment Tool
4.1、介绍:
Web 服务安全分析
通过报告查看整体安全评估
强化其 Web 服务
开源的Web服务安全扫描工具,它提供了一个动态环境,只需编辑其配置文件即可添加,更新或删除漏洞。此工具接受 WSDL 地址列表作为输入文件,对于每个服务,它对安全漏洞执行静态和动态测试。它还进行信息披露控制。使用此工具,可以立即分析所有Web服务,并且组织可以看到整体安全评估。
4.2、下载:
下载地址(GitHub):
YalcinYolalan/WSSAT: WEB SERVICE SECURITY ASSESSMENT TOOL (github.com)https://github.com/YalcinYolalan/WSSAT
4.3、配置:
4.3.1、WSSAT 开发环境
C#
Microsoft Visual Studio Community Edition 2017 (https://www.visualstudio.com/downloads/)
4.3.2、要求
Windows OS (7 or later)
.Net Framework 4.7 (https://www.microsoft.com/en-us/download/details.aspx?id=55170)
4.3.3、WSSAT 安装
Step 1:
Download the WSSAT folder and copy/extract it to your Windows computer
Step 2:
Go to WSSAT WSSAT\WSSAT\bin\Debug folder (Read/Write permission is required to generate report, log etc.)
Step 3:
Double click WSSAT.exe
五、WS-Attacker
5.1、介绍:
WS-Attacker 是一个用于 Web 服务渗透测试的模块化框架。
WS-Attacker 背后的基本思想是提供一种功能来加载 WSDL 文件并将 SOAP 消息发送到 Web 服务终结点(使用底层 SoapUI 框架执行)。可以使用各种插件和库来扩展此功能,以构建特定的 Web 服务攻击。
5.2、功能:
WS-Attacker 支持以下攻击:
- SOAPAction 欺骗:请参阅 https://www.ws-attacks.org/index.php/SOAPAction_Spoofing
- WS 寻址欺骗:请参阅 https://www.ws-attacks.org/index.php/WS-Addressing_spoofing
- XML 签名包装:请参阅 https://nds.rub.de/media/nds/arbeiten/2012/07/24/ws-attacker-ma.pdf
- 基于 XML 的 DoS 攻击
- 新的自适应和智能拒绝服务攻击 (AdIDoS)
- XML 加密攻击
5.3、下载:
5.3.1、直接获取JAR文件
WS-Attacker - Browse Files at SourceForge.nethttps://sourceforge.net/projects/ws-attacker/files/
5.3.2、下载地址(GitHub):
RUB-NDS/WS-Attacker: WS-Attacker is a modular framework for web services penetration testing. It is developed by the Chair of Network and Data Security, Ruhr University Bochum (https://nds.rub.de/ ) and the Hackmanit GmbH (https://www.hackmanit.de/). (github.com)https://github.com/RUB-NDS/WS-AttackerGITHub的源代码需要自己构建
- Java 7 or higher
- maven
- git
5.4、功能:
5.4.1、动态测试:
- 不安全的通信 - 未使用 SSL
- 未经身份验证的服务方法
- 基于错误的 SQL 注入
- 跨站点脚本
- XML 炸弹
- 外部实体攻击 - XXE
- XPATH 注入
- HTTP 选项方法
- 跨站点跟踪 (XST)
- 缺少 X-XSS 保护标头
- 详细的 SOAP 错误消息
5.4.2、静态分析:
- 弱 XML 架构:无限次
- 弱 XML 架构:未定义的命名空间
- 弱 WS-安全策略:不安全的传输
- WS 安全策略薄弱:支持令牌保护不足
- 弱 WS-Security 策略:令牌不受保护
5.4.3、信息泄露:
- 服务器或技术信息泄露
5.4.4、WSSAT的主要模块:
- 解析器
- 漏洞加载程序
- 分析器/攻击者
- 记录
- 报告生成器
5.5、测试内容:
- 模糊
- XSS /SQLi/ 格式错误的 XML
- 文件上传
- X径注射
- XML 炸弹 (DoS)
- 基于身份验证的攻击
- 重放攻击
- 会话固定
- XML 签名包装
- 会话超时
- 主机密码支持/有效证书/协议支持
- 哈希算法支持
(45.5)【API接口漏洞】API接口之Web Service测试工具Soap UI PRO、SOAPSonar、Burp Suite、WSSAT、WS-Attacker相关推荐
- android 调用java接口_android调用java的web service接口
android中通过webservice调用服务器端其实还是很简单的,只要按部就班的按照下面步骤进行即可: (1)创建HttpTransportSE对象,该对象用于调用WebService操作 代码如 ...
- 常见的API接口漏洞总结
常见API接口漏洞 了解接口常见漏洞,将帮助你在测试接口获取更多的思路. 信息披露 信息可能会在 API 响应或公共来源(如代码存储库.搜索结果.新闻.社交媒体.目标网站和公共 API 目录)中披露. ...
- odoo系统的web服务器,Odoo Web Service API
Odoo Web服务暴露出相关的服务,路由分别是 /xmlrpc/ /xmlrpc/2/ /jsonrpc 根据 services 调用 后端对应服务的 方法method [定义 openerp\ht ...
- 软件测试常见的接口协议,软件测试之接口常见的接口类型
原标题:软件测试之接口常见的接口类型 接口是指外部系统与系统之间以及内部各子系统之间的交互点.包括外部接口.内部接口,内部接口又包括:上层服务与下层服务接口.同级接口. 常见web接口:一类是http ...
- (45.3)【API接口漏洞专题】API接口原理、请求方法、类型、安全校验方法
目录 一.接口定义: 二.API接口原理: 三.接口请求方式(以http为例) 3.1.使用: 3.2.常见的: 3.3.全面的: 3.4.get型 3.4.1.使用: 3.4.2.应用: 3.4.3 ...
- Golang面向API编程-interface(接口)
Golang面向API编程-interface(接口) 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. Golang并不是一种典型的面向对象编程(Object Oriented Pr ...
- taobao.trades.sold.get-查询卖家已卖出的交易数据(根据创建时间),淘宝店铺卖出订单查询API接口,R2接口,oAuth2.0交易接口代码分享
一.taobao.trades.sold.get-查询卖家已卖出的交易数据(根据创建时间),淘宝店铺卖出订单查询API接口,R2接口,oAuth2.0交易接口代码分享 搜索当前会话用户作为卖家已卖出的 ...
- android开发股票数据接口,股票数据接口-股票数据接口api
原标题:股票数据接口-股票数据接口api 量亿数据专注金融领域API数据接口,其中包括期货.股票.期权.外汇等,只需要注册即可申请使用. 免费申请网址:http://www.liangyee.com/ ...
- 电商价格数据监测接口/品牌商品控价接口/商品数据分析接口/比价搜索API接口,超详细的接口说明
一.电商价格数据监测接口/品牌商品控价接口/商品数据分析接口/比价搜索API接口说明: 1.接口背景:电商平台的定价监管是很多品牌面临的一个问题,如何做好电商渠道管理? 我们通过跟多家品牌的合作以及数 ...
- 足球数据API接口 - 【指数接口1】API调用示例代码
继续分享使用接口调用的示例代码,这次是 [即时指数接口1] package com.huaying.demo.football;import javax.xml.bind.JAXBContext; i ...
最新文章
- BUUCTF-reverse3
- 《MySQL——order by逻辑(全字段排序与rowid排序)》
- CodeIgniter 的数据安全过滤全解析
- MySQL故障检测_mysql主从故障检测处理脚本
- 入驻商户卖隐形眼镜护理液 饿了么遭监管警告
- 发那科机器人注油_东莞发那科工业机器人维保中心
- 智能网联汽车测试场景数据车载采集平台搭建要求及方法
- 使用PIE-Engine探寻地球灯光蕴藏的秘密
- 专用微处理器电源监控和看门狗芯片--MAX708
- 基于ssm流浪猫狗|流浪狗宠物救助网站
- 基于Altium designer软件设计PCB,原理图经验总结
- 深度学习21_李宏毅_08_CNN
- java线程和linux线程,【转】Java线程与Linux内核线程的映射关系
- 时间转化为字符串格式的方法
- ImageSelector
- 全网最全面的npm包管理学习
- python 如何获取百度热点内容
- 一二线城市知名 IT 互联网公司名单!虎~
- (九十七)Android O WiFi热点 开启流程梳理续(二)
- 20190411-cpp-compiler