セキュリティテスト-Webサービス

最新のWebベースのアプリケーションでは、Webサービスの使用は避けられず、攻撃を受けやすくなります。 Webサービスは複数のWebサイトからのフェッチを要求するため、開発者はハッカーによるあらゆる種類の侵入を回避するために、追加の対策をほとんど講じる必要がありません。

ハンズオン

• ステップ1 *-WebgoatのWebサービス領域に移動し、WSDLスキャンに移動します。 次に、他のアカウント番号のクレジットカードの詳細を取得する必要があります。 シナリオのスナップショットは次のとおりです。

web_services

• ステップ2 *-名を選択すると、SOAPリクエストxmlを介して 'getFirstName’関数呼び出しが行われます。

web_services1

• ステップ3 *-WSDLを開くと、 'getCreditCard’と同様にクレジットカード情報を取得する方法があることがわかります。 次に、以下に示すようにBurpスイートを使用して入力を改ざんしましょう-

web_services2

• ステップ4 *-次に、以下に示すようにBurpスイートを使用して入力を変更します-

web_services3

• ステップ5 *-他のユーザーのクレジットカード情報を取得できます。

web_services4

予防メカニズム

• SOAPメッセージはXMLベースであるため、渡された資格情報はすべてテキスト形式に変換する必要があります。 したがって、常に暗号化する必要がある機密情報の受け渡しには、非常に注意する必要があります。
• パケットの整合性を確保するために適用されるチェックサムなどのメカニズムを実装することにより、メッセージの整合性を保護します。
• メッセージの機密性の保護-非対称暗号化は対称セッションキーを保護するために適用されます。対称キーは多くの実装で1つの通信に対してのみ有効であり、その後破棄されます。