Web Service安全
在現代的基於Web的應用程式中,Web服務的使用是不可避免的,並且它們也容易受到攻擊。由於Web服務請求從多個網站獲取,開發人員必須採取一些額外的措施,以避免駭客的任何型別的滲透。
動手實踐
第1步 - 導航到Webgoat的Web服務區域並轉到WSDL掃描。我們現在需要獲取其他一些帳號的信用卡詳細資訊。如下所示 -
第2步 - 如果選擇第一個名稱,則getFirstName函式呼叫是通過SOAP請求xml進行的。
第3步 - 通過開啟WSDL,可以看到有一種方法可以檢索信用卡資訊 - getCreditCard函式。現在使用Burp Suit篡改輸入,如下所示 -
第4步 - 現在我們使用Burp套件修改輸入,如下所示 -
第5步 - 可以獲得其他使用者的信用卡資訊。
預防機制
- 由於SOAP訊息是基於XML的,因此必須將所有傳遞的憑證轉換為文字格式。因此,必須非常小心地傳遞,必須始終加密的敏感資訊。
- 通過實施應用校驗和等機制來保護訊息完整性,以確保資料包的完整性。
- 保護訊息機密性 - 應用非對稱加密來保護對稱對談金鑰,在許多實現中,對稱對談金鑰僅對一個通訊有效並隨後被丟棄。