用APPCAN 测试web services之2

利用AppScan GSC检测Web服务安全漏洞

1. 选择“常规扫描”模板，新建扫描。

图1.新建常规扫描
 

2. 设置扫描类型为“Web Service扫描”。

图2.设置Web Service扫描类型
 

3. 输入WSDL的访问地址：http://demo.testfire.net/transfer/transfer.asmx?wsdl

图3.设置WSDL URL
 

4. 选择“Web Service”测试策略

图4.设置Web Service测试策略
 

5. 点击“完成”，AppScan将自动启动通用服务客户机GSC。

图5.完成扫描配置向导
 

6. GSC启动后，会自动根据提供的WSDL地址，导入WSDL文件，需要稍等片刻。

图6.常规服务客户端GSC自动导入WSDL
 

7. 导入WSDL后，我们可以在左侧看到Web服务所提供的所有操作及对应的SOAP请求。

图7. GSW完成WSDL导入
 

8. 我们选择TransferBalance操作，点击其ServiceSoap，右侧将出现请求SOAP消息的表单，选择“transDetails”，然后输入transferDate，debitAccount，creditAccount及transferAmount等参数，如下图所示，然后点击“调用”按钮。

图8.编辑SOAP请求数据
 

9. 等待并查看Web服务响应。

图9.查看Web Service响应
 

10. 关闭GSC，AppScan会自动导入GSC探索到的URL，我们可以在数据视图中查看该URL的请求及响应。

图10.查看GSC探索结果
 

11. 点击“扫描”-“仅测试”，AppScan即自动对当前Web服务的TransferBalance操作进行自动化渗透测试。结果如下图所示。

图11.查看Web Service测试结果
 

请注意：

• 以上案例，我们仅仅测试了Web服务中的其中一个操作，实际测试中应对所有的操作都进行测试；
• 案例中，我们发现了SQL注入漏洞等常见Web应用漏洞，佐证了Web服务可能存在常见的Web应用安全漏洞；
• 案例中我们使用了默认Web Service测试策略，默认Web Service测试策略不包括XML解析相关的拒绝服务测试变体，实际测试中应结合项目实际要求定制自己的测试策略。