API接口之Web Service测试工具Soap UI PRO、SOAPSonar、Burp Suite、WSSAT、WS-A
API接口之Web Service测试工具Soap UI PRO、SOAPSonar、Burp Suite、WSSAT、WS-Attacker
目录
四、WSSAT - Web Service Security Assessment Tool
(没有不透风的接口)
一、Soap UI PRO
1.1、介绍:
soapUI pro(商业非开源版本),soapUI Free(开源)
(自动化测试)创建、管理、执行REST,SOAP和GRAPHQL API,JMS,JDBC和其他Web服务上的端到端测试(容易上手)
通过soap/http来检查、调用、实现Web Service的功能测试、负载测试、互操作性测试、回归测试、符合性测试等。该工具既可作为一个单独的测试软件使用,也可利用插件集成到Eclipse,maven2.X,Netbeans 和intellij中使用
1.2、下载:
1.2.1、官网下载(需付费):
The World's Most Popular API Testing Tool | SoapUI
https://www.soapui.org/
1.2.2、网站下载(节约经济):
建议支持正版,但是资金有限,就可以在网上下载pojie版的
1.2.3、GitHub(最新、开源、需自己搭建):
SmartBear/soapui: SoapUI is a free and open source cross-platform functional testing solution for APIs and web services. (github.com)
https://www.soapui.org/
二、SOAPSonar
2.1、介绍:
提供服务测试、诊断解决方案(综合的测试解决方案),在服务开发的整个周期中都可使用其功能。
是基于HTTP,HTTPS, MQ 和 JMS协议的SOAP, XML, 和REST服务提供简单、直观和综合的测试。SOAPSonar测试框架容易部署,且不需要SOAP,XML,或者 WSDL的背景知识。创建更复杂的测试任务(功能、性能、认证、一致性和安全性测试)
2.2、下载:
下载地址(官网):
SOAPSonar | Crosscheck Networks
三、Burp Suite
各模块分析使用
(接口这块,使用Postman会显得更专业)
四、WSSAT - Web Service Security Assessment Tool
4.1、介绍:
Web 服务安全分析
通过报告查看整体安全评估
强化其 Web 服务
开源的Web服务安全扫描工具,它提供了一个动态环境,只需编辑其配置文件即可添加,更新或删除漏洞。此工具接受 WSDL 地址列表作为输入文件,对于每个服务,它对安全漏洞执行静态和动态测试。它还进行信息披露控制。使用此工具,可以立即分析所有Web服务,并且组织可以看到整体安全评估。
4.2、下载:
下载地址(GitHub):
4.3、配置:
4.3.1、WSSAT 开发环境
C#
Microsoft Visual Studio Community Edition 2017 (https://www.visualstudio.com/downloads/)
4.3.2、要求
Windows OS (7 or later)
.Net Framework 4.7 (https://www.microsoft.com/en-us/download/details.aspx?id=55170)
4.3.3、WSSAT 安装
Step 1:
Download the WSSAT folder and copy/extract it to your Windows computer
Step 2:
Go to WSSAT WSSAT\WSSAT\bin\Debug folder (Read/Write permission is required to generate report, log etc.)
Step 3:
Double click WSSAT.exe
五、WS-Attacker
5.1、介绍:
WS-Attacker 是一个用于 Web 服务渗透测试的模块化框架。
WS-Attacker 背后的基本思想是提供一种功能来加载 WSDL 文件并将 SOAP 消息发送到 Web 服务终结点(使用底层 SoapUI 框架执行)。可以使用各种插件和库来扩展此功能,以构建特定的 Web 服务攻击。
5.2、功能:
WS-Attacker 支持以下攻击:
- SOAPAction 欺骗:请参阅
- WS 寻址欺骗:请参阅
- XML 签名包装:请参阅
- 基于 XML 的 DoS 攻击
- 新的自适应和智能拒绝服务攻击 (AdIDoS)
- XML 加密攻击
5.3、下载:
5.3.1、直接获取JAR文件
WS-Attacker - Browse Files at SourceForge.net
5.3.2、下载地址(GitHub):
- Java 7 or higher
- maven
- git
5.4、功能:
5.4.1、动态测试:
- 不安全的通信 - 未使用 SSL
- 未经身份验证的服务方法
- 基于错误的 SQL 注入
- 跨站点脚本
- XML 炸弹
- 外部实体攻击 - XXE
- XPATH 注入
- HTTP 选项方法
- 跨站点跟踪 (XST)
- 缺少 X-XSS 保护标头
- 详细的 SOAP 错误消息
5.4.2、静态分析:
- 弱 XML 架构:无限次
- 弱 XML 架构:未定义的命名空间
- 弱 WS-安全策略:不安全的传输
- WS 安全策略薄弱:支持令牌保护不足
- 弱 WS-Security 策略:令牌不受保护
5.4.3、信息泄露:
- 服务器或技术信息泄露
5.4.4、WSSAT的主要模块:
- 解析器
- 漏洞加载程序
- 分析器/攻击者
- 记录
- 报告生成器
5.5、测试内容:
- 模糊
- XSS /SQLi/ 格式错误的 XML
- 文件上传
- X径注射
- XML 炸弹 (DoS)
- 基于身份验证的攻击
- 重放攻击
- 会话固定
- XML 签名包装
- 会话超时
- 主机密码支持/有效证书/协议支持
- 哈希算法支持
- 点赞
- 收藏
- 关注作者
评论(0)