用APPCAN 测试web services之3

利用SoapUI和AppScan检测Web服务安全漏洞

下面我们使用SoapUI重新探索上述案例，并使用AppScan扫描SoapUI探索的结果。如果没有安装GSC，用户可以使用这种方案来检测Web服务的安全漏洞。

1. 新建常规扫描，设置扫描类型为“Web应用程序扫描”。

图12.新建Web应用扫描
 

2. 输入起始URL：http://www.altoromutual.com/transfer/transfer.asmx?wsdl

图13.设置起始URL
 

3. 登录方法选择“无”。

图14.设置登录方法
 

4. 依旧选择“Web Service”测试策略。

图15.设置测试策略
 

5. 因为我们将使用SoapUI进行探索，所以这里选择“稍后启动扫描”，然后点击“完成”按钮。

图16.完成向导并稍后启动扫描
 

6. 接下来，我们需要设置SoapUI和AppScan的代理关系。点击“工具”-“选项”，查看当前AppScan的动态代理端口。这里，我们将AppScan作为Web代理服务器，因此需要将此代理端口提供给SoapUI。

图17.查看AppScan代理端口
 

7. 打开SoapUI，新建一个SoapUI工程，命名为“AltoroMutual”，WSDL地址设为“http://www.altoromutual.com/transfer/transfer.asmx?wsdl”

图18.新建soapUI工程
 

8. SoapUI新建工程过程中，会自动导入WSDL定义。从下图可以看出，跟GSC类似，SoapUI在左侧展示了Web服务的所有操作及其SOAP格式。

图19. soapUI工程创建完成
 

9. 点击“File”-“Preferences”，进入Proxy Settings，设置AppScan作为代理服务器，如下图所示。端口2979为步骤6中所查看到的端口号。点击“OK”保存设置。

图20.设置soapUI的代理
 

10. 双击“TransferBalance”下的SOAP请求，右侧会展示SOAP消息体，我们同样输入transferDate，debitAccount，creditAccount及transferAmount等参数，然后点击绿色三角按钮执行该SOAP请求。

图21.修改参数并提交SOAP请求
 

11. 稍等片刻，SoapUI即展示出以上请求的响应信息。

图22.查看Web Service响应
 

12. 关闭SoapUI。AppScan会自动弹出手工探测结果，提醒用户进行确认。直接点击“确定”。

图23.查看手工探索结果
 

13. 同样进入AppScan数据视图，我们可以看到AppScan探索到了SoapUI所发出的SOAP请求及收到的响应。

图24. AppScan探索结果中的SOAP请求
 

14. 点击“扫描”-“仅测试”，AppScan即自动对当前探索结果进行自动化渗透测试。

以上两个案例的扫描脚本分别保存为“Demo_GSC.scan”、“Demo_SoapUI.scan”，供读者下载比较其配置方式的异同。