PMP ,专注于WEB功能测试、性能测试、安全测试的研究,从事全面质量管理工作。曾任多家公司测试经理、测试主管。在电子政务、银行、电商、跨境电商、直播电商领域工作多年,曾获得某龙头集团公司公测一等奖,曾任职某头部直播电商公司测试团队负责人,具有业务敏感性,擅长从0到1搭建测试团队,具有海外工作经历,以及质量管理体系搭建。邮箱:89233502@qq.com
用APPCAN 测试web services之2
上一篇 /
下一篇 2012-09-04 18:51:27
/ 个人分类:安全测试
利用AppScan GSC检测Web服务安全漏洞
- 选择“常规扫描”模板,新建扫描。
图1.新建常规扫描
- 设置扫描类型为“Web Service扫描”。
图2.设置Web
Service扫描类型
- 输入WSDL的访问地址:http://demo.testfire.net/transfer/transfer.asmx?wsdl
图3.设置WSDL URL
- 选择“Web Service”测试策略
图4.设置Web
Service测试策略
- 点击“完成”,AppScan将自动启动通用服务客户机GSC。
图5.完成扫描配置向导
- GSC启动后,会自动根据提供的WSDL地址,导入WSDL文件,需要稍等片刻。
图6.常规服务客户端GSC自动导入WSDL
- 导入WSDL后,我们可以在左侧看到Web服务所提供的所有操作及对应的SOAP请求。
图7. GSW完成WSDL导入
- 我们选择TransferBalance操作,点击其ServiceSoap,右侧将出现请求SOAP消息的表单,选择“transDetails”,然后输入transferDate,debitAccount,creditAccount及transferAmount等参数,如下图所示,然后点击“调用”按钮。
图8.编辑SOAP请求数据
- 等待并查看Web服务响应。
图9.查看Web Service响应
- 关闭GSC,AppScan会自动导入GSC探索到的URL,我们可以在数据视图中查看该URL的请求及响应。
图10.查看GSC探索结果
- 点击“扫描”-“仅测试”,AppScan即自动对当前Web服务的TransferBalance操作进行自动化渗透测试。结果如下图所示。
图11.查看Web
Service测试结果
请注意:
- 以上案例,我们仅仅测试了Web服务中的其中一个操作,实际测试中应对所有的操作都进行测试;
- 案例中,我们发现了SQL注入漏洞等常见Web应用漏洞,佐证了Web服务可能存在常见的Web应用安全漏洞;
- 案例中我们使用了默认Web Service测试策略,默认Web Service测试策略不包括XML解析相关的拒绝服务测试变体,实际测试中应结合项目实际要求定制自己的测试策略。
收藏
举报
TAG: