soap接口测试

SOAP接口测试

SOAP简介

简单对象访问协议（SOAP）是连接或Web服务或客户端和Web服务之间的接口，微软.net架构的关键元素，基于XML的语言开发，可使应用程序在HTTP之上进行信息交换。

一个简单的SOAP消息包含

Envelope: 标识XML文档，具有名称空间和编码详细信息。

标题：包含标题信息，如内容类型和字符集等。

正文：包含请求和响应信息.

故障：错误和状态信息。

SOAP接口可能存在的漏洞

信息泄露、SQL注入、命令执行、文件上传、Dos攻击、SOAP操作欺骗等

敏感信息泄露：

SQL注入：

采用延迟注入的方法来判断是否存在注入：

SOAP接口如何寻找

可以通过JS分析+工具分析+源码分析（因为个人没遇到过这个里直接嫖了修君大表哥的图片）

工具一：JSFinder

工具二：JS LinkFinder Burp插件市场下载

利用工具发现SOAP存在的漏洞：

1.AWVS

2.ReadyAPI

配置Burp代理

打开ReadyAPI选择New Security Test（创建新的安全测试）

这里三个都可以选择，我选择第一个

填入需要测试的API接口

点击Finish自行自动探测

从Burp历史请求记录中可以看到已经产生大量的payload

输出结果发现存在sql注入：

Ready_API_2.8.0_Pro_All_SoapUI_NG_Pro_LoadUI_NG_Pro_ServiceV_Pro_x64

SoapUI Pro (现更名为ReadyAPI)，破解最新ReadyAPI 2.8.0，实现完美破解，破解后试用期长达80年，可无损使用ReadyAPI的各类收费功能，并已解决闪退问题，包含SoapUI，LoadUI，ServiceV。

需要的到QQ群里面获取。

本文始发于微信公众号（利刃信安二狗子）：soap接口测试