- 安全測試教程
- 安全測試 - 首頁
- 安全測試 - 概述
- 安全測試 - 流程
- 安全測試 - 惡意軟體
- HTTP協議基礎
- HTTPS協議基礎
- 編碼和解碼
- 安全測試 - 密碼學
- 安全測試 - 同源策略
- 安全測試 - Cookie
- 駭客攻擊Web應用程式
- 安全測試 - 注入
- 測試身份驗證漏洞
- 測試跨站點指令碼攻擊
- 不安全的直接物件引用
- 測試安全配置錯誤
- 測試敏感資料洩露
- 缺少功能級訪問控制
- 跨站點請求偽造
- 存在漏洞的元件
- 未經驗證的重定向和轉發
- 安全測試 - Ajax安全
- 測試安全 - Web服務
- 安全測試 - 緩衝區溢位
- 安全測試 - 拒絕服務
- 測試惡意檔案執行
- 安全測試 - 自動化工具
- 安全測試有用資源
- 安全測試 - 快速指南
- 安全測試 - 有用資源
- 安全測試 - 討論
安全測試 - Web服務
在現代基於Web的應用程式中,Web服務的使用是不可避免的,它們也容易受到攻擊。由於Web服務請求來自多個網站,因此開發人員必須採取一些額外的措施,以避免駭客的任何滲透。
動手操作
步驟1 - 導航到Webgoat的Web服務區域並轉到WSDL掃描。我們現在需要獲取其他一些帳號的信用卡詳細資訊。場景的快照如下所示。
步驟2 - 如果我們選擇名字,則透過SOAP請求xml進行'getFirstName'函式呼叫。
步驟3 - 透過開啟WSDL,我們可以看到也有一種方法可以檢索信用卡資訊'getCreditCard'。現在讓我們使用Burp suite篡改輸入,如下所示 -
步驟4 - 現在讓我們使用Burp suite修改輸入,如下所示 -
步驟5 - 我們可以獲取其他使用者的信用卡資訊。
預防機制
由於SOAP訊息是基於XML的,因此所有傳遞的憑據都必須轉換為文字格式。因此,在傳遞必須始終加密的敏感資訊時,必須非常小心。
透過實施諸如應用於確保資料包完整性的校驗和之類的機制來保護訊息完整性。
保護訊息機密性 - 應用非對稱加密來保護對稱會話金鑰,在許多實現中,這些金鑰僅對一次通訊有效,隨後會被丟棄。
廣告