测试原理和方法
WebService是一种跨编程语言和跨操作系统平台的远程调用技术。XML+XSD、SOAP (Simple Object Access Protocol) 和WSDL (Web Services Description Language)就是构成WebService平台的三大技术,其中XML+XSD用来描述、表达要传输的数据;SOAP是用于交换XML编码信息的轻量级协议,一般以XML或者XSD作为载体,通过HTTP协议发送请求和接收结果,SOAP协议会在HTTP协议的基础上增加一些特定的HTTP消息头;WSDL是一个基于XML的用于描述Web Service及其函数、参数和返回值的语言。
通过上面的描述,我们可以知道WebService就是一个应用程序向外界暴露出一个能通过Web进行调用的API。这个API接收用户输入的参数,然后返回相关的数据内容。如果一个WebService完全信任用户的输入,不进行过滤,则有可能导致SOL注入漏洞的发生。
测试过程
如图 所示,攻击者在测试前,通过爬虫或者目录扫描等方法找到服务器的WebService链接,接着使用WVS (Web Vulnerability Scanner) 的Web Services Editor功能导入各个接口函数,通过关键词(如Get、Exec) 定位到相关的接口函数,通过HTTPEditor对每一个接口函数的输入参数进行测试(如SOL注入、文件上传等),如果出现预期效果 (如数据库报错、不同的延时等),则存在漏洞。
步骤一:找到服务器的WebService的