Web Services 接口安全测试
简要说明:
1.什么是webservice?
webservice是一种以xml作为数据交换格式的应用接口,开发可用http请求的方式调用webservice执行各种功能,可能会操作数据库,文档等。
原理分析:
1.开发在进行webservice接口开发时,接收用户传入的参数值未进行处理,导致攻击者控制数据执行流程,从而导致sql注入,xml外部实体攻击,xpanth注入等安全漏洞;
测试切入点:
1.sql注入测试;
2.xml外部实体攻击测试(xml炸弹,格式畸形,无效参数);
3.xpanth注入测试;
4.XQuery注入;
5.模糊测试等。
一。通过AWVS工具测试
1.建立工程扫描目标网站;
2.选择webservice 的 web service Editor 进行测试;
3.可以选择web service scanner 扫描,然后根据参数测试;
二。通过Burpsuite工具测试
可参考链接:https://www.heibai.org/post/783.html
防御修复方案:
1.对参数进行净化,再调用;
2.对敏感功能在服务端加入身份验证;
此文档仅供学习参考跟技术交流,请勿用于违法操作!