全国咨询热线:136-9172-9932
Web Service测试主要是通过工具检查Web Service接口是否存在SQL注入、XSS注入和XPATH 注入漏洞,检查接口论证、鉴权、机密性、完整性、审计日志措施是否恰当。 (1)接口 SQL 注入、XSS 注入和 XPATH 注入测试。 通过工具自动检查 Web Service 接口是否存在 SQL 注入、XPATH 注入、跨站脚本漏洞,具体 的测试步骤如下: 步骤 1:运行 WSDigger 工具(WSDigger 工具进行自动检查),并单击右下角的 Next 按钮,进 入 WSDL 页面。 步骤 2:在 WSDL 输入框中输入接口的 WSDL 地址,格式为http://PortalIP:Port/Path/Interface? wsdl,如地址http://10.164.23.191:8080/jboss-net/services/Register?wsdl,如图 12-23 所示。 步骤 3:单击 Get Methods 按钮,获取接口方法,如图 12-24 所示。
步骤 4:在左侧的接口方法树形框中选择要测试的方法,如图 12-25 所示。
步骤 5:单击菜单项 Attacks→Select Attack Type,弹出 Attack 对话框,在对话框左侧的选择列 表框中选择所有的测试项,如图 12-26 所示。
步骤 6:单击 Start 按钮,生成测试结果,如图 12-27 所示。
观察返回结果,根据 WSDL 接口定义,判断返回事件是否成功,预期结果为不能返回正确的 结果。(2)接口认证、鉴权、机密性、完整性、审计日志测试。 检查接口认证、鉴权、机密性、完整性、审计日志措施是否恰当。具体测试步骤如下: 步骤 1:运行 WSDigger 工具(WSDigger 工具进行自动检查),并单击右下角的 Next 按钮,进 入 WSDL 页面。 步骤 2:在 WSDL 输入框中输入接口的 WSDL 地址 , 格式为 http://PortalIP:Port/Path/ Interface?wsdl,如地址http://10.164.23.191:8080/jboss-net/services/Register?wsdl。 步骤 3:单击 Get Methods 按钮,获取接口方法。 步骤 4:在左侧的接口方法树形框中选择要测试的方法。 步骤 5:单击图 12-25 中 Input 列表框中的各个参数,并在 Input Value 框中输入相应的参数值 (参数值为每个接口方法所定义的结果值)。 步骤 6:单击 Invoke 按钮,观察返回信息。 步骤 7:分析接口是否存在认证、鉴权机制,是否存在机密性、完整性措施,是否记录接口调 用日志。 Web Service 接口存在完善的认证、鉴权机制,存在机密性、完整性保护措施,对接口调用有 详细的调用日志记录。
