soap接口测试

  • A+
所属分类:安全文章

SOAP接口测试


SOAP简介

简单对象访问协议(SOAP)是连接或Web服务或客户端和Web服务之间的接口,微软.net架构的关键元素,基于XML的语言开发,可使应用程序在HTTP之上进行信息交换。

一个简单的SOAP消息包含

Envelope: 标识XML文档,具有名称空间和编码详细信息。

标题:包含标题信息,如内容类型和字符集等。

正文:包含请求和响应信息.

故障:错误和状态信息。

soap接口测试

SOAP接口可能存在的漏洞

信息泄露、SQL注入、命令执行、文件上传、Dos攻击、SOAP操作欺骗等

敏感信息泄露:

soap接口测试

SQL注入:

采用延迟注入的方法来判断是否存在注入:

soap接口测试


soap接口测试


SOAP接口如何寻找

可以通过JS分析+工具分析+源码分析(因为个人没遇到过这个里直接嫖了修君大表哥的图片)

soap接口测试

工具一:JSFinder

soap接口测试

工具二:JS LinkFinder Burp插件市场下载

soap接口测试


soap接口测试

利用工具发现SOAP存在的漏洞:

1.AWVS

soap接口测试

2.ReadyAPI

配置Burp代理

soap接口测试

打开ReadyAPI选择New Security Test(创建新的安全测试)

soap接口测试

这里三个都可以选择,我选择第一个

soap接口测试

填入需要测试的API接口

soap接口测试

点击Finish自行自动探测

soap接口测试


soap接口测试

从Burp历史请求记录中可以看到已经产生大量的payload

soap接口测试

输出结果发现存在sql注入:

soap接口测试


soap接口测试


Ready_API_2.8.0_Pro_All_SoapUI_NG_Pro_LoadUI_NG_Pro_ServiceV_Pro_x64


SoapUI Pro (现更名为ReadyAPI),破解最新ReadyAPI 2.8.0,实现完美破解,破解后试用期长达80年,可无损使用ReadyAPI的各类收费功能,并已解决闪退问题,包含SoapUI,LoadUI,ServiceV。

需要的到QQ群里面获取。

本文始发于微信公众号(利刃信安二狗子):soap接口测试

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: