SOAP接口测试
SOAP简介
简单对象访问协议(SOAP)是连接或Web服务或客户端和Web服务之间的接口,微软.net架构的关键元素,基于XML的语言开发,可使应用程序在HTTP之上进行信息交换。
一个简单的SOAP消息包含
Envelope: 标识XML文档,具有名称空间和编码详细信息。
标题:包含标题信息,如内容类型和字符集等。
正文:包含请求和响应信息.
故障:错误和状态信息。
SOAP接口可能存在的漏洞
信息泄露、SQL注入、命令执行、文件上传、Dos攻击、SOAP操作欺骗等
敏感信息泄露:
SQL注入:
采用延迟注入的方法来判断是否存在注入:
SOAP接口如何寻找
可以通过JS分析+工具分析+源码分析(因为个人没遇到过这个里直接嫖了修君大表哥的图片)
工具一:JSFinder
工具二:JS LinkFinder Burp插件市场下载
利用工具发现SOAP存在的漏洞:
1.AWVS
2.ReadyAPI
配置Burp代理
打开ReadyAPI选择New Security Test(创建新的安全测试)
这里三个都可以选择,我选择第一个
填入需要测试的API接口
点击Finish自行自动探测
从Burp历史请求记录中可以看到已经产生大量的payload
输出结果发现存在sql注入:
Ready_API_2.8.0_Pro_All_SoapUI_NG_Pro_LoadUI_NG_Pro_ServiceV_Pro_x64
SoapUI Pro (现更名为ReadyAPI),破解最新ReadyAPI 2.8.0,实现完美破解,破解后试用期长达80年,可无损使用ReadyAPI的各类收费功能,并已解决闪退问题,包含SoapUI,LoadUI,ServiceV。
需要的到QQ群里面获取。
本文始发于微信公众号(利刃信安二狗子):soap接口测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论