Web Service安全
在现代的基于Web的应用程序中,Web服务的使用是不可避免的,并且它们也容易受到攻击。由于Web服务请求从多个网站获取,开发人员必须采取一些额外的措施,以避免黑客的任何类型的渗透。
动手实践
第1步 - 导航到Webgoat的Web服务区域并转到WSDL扫描。我们现在需要获取其他一些帐号的信用卡详细信息。如下所示 -
第2步 - 如果选择第一个名称,则getFirstName函数调用是通过SOAP请求xml进行的。
第3步 - 通过打开WSDL,可以看到有一种方法可以检索信用卡信息 - getCreditCard函数。现在使用Burp Suit篡改输入,如下所示 -
第4步 - 现在我们使用Burp套件修改输入,如下所示 -
第5步 - 可以获得其他用户的信用卡信息。
预防机制
- 由于SOAP消息是基于XML的,因此必须将所有传递的凭证转换为文本格式。因此,必须非常小心地传递,必须始终加密的敏感信息。
- 通过实施应用校验和等机制来保护消息完整性,以确保数据包的完整性。
- 保护消息机密性 - 应用非对称加密来保护对称会话密钥,在许多实现中,对称会话密钥仅对一个通信有效并随后被丢弃。