テストの原理と方法
WebService は、クロスプログラミング言語とクロスオペレーティング システム プラットフォームのリモート呼び出しテクノロジです。WebServiceプラットフォームを構成する3大技術はXML+XSD、SOAP(Simple Object Access Protocol)、WSDL(Web Services description Language)であり、送信するデータの記述や表現にはXML+XSDが、SOAPはWebServiceプラットフォームを構成する3大技術となります。 XML エンコードされた情報を交換するための軽量プロトコルは、一般に XML または XSD をキャリアとして使用し、HTTP プロトコルを通じてリクエストを送信し、結果を受信します。SOAP プロトコルは、HTTP プロトコルに基づいていくつかの特定の HTTP メッセージ ヘッダーを追加します。WSDL はWeb サービスの言語とその関数、パラメータ、戻り値を記述するために使用される XML ベースのプロトコル。
上記の説明から、WebService は Web 経由で呼び出すことができる API を外部に公開するアプリケーションであることがわかります。この API は、ユーザーが入力したパラメータを受け取り、関連するデータ コンテンツを返します。Web サービスがフィルタリングせずにユーザー入力を完全に信頼すると、SOL インジェクションの脆弱性が発生する可能性があります。
テストプロセス
図に示すように、攻撃者はテスト前にクローラやディレクトリスキャンを通じてサーバのWebServiceリンクを見つけ、WVS(Web脆弱性スキャナ)のWebサービスエディタ機能を利用して各種インターフェース機能をインポートし、キーワード( Get、Exec など) 関連するインターフェイス関数を見つけて、HTTPEditor を介して各インターフェイス関数の入力パラメーター (SOL インジェクション、ファイル アップロードなど) をテストします。期待される効果が発生する場合 (データベース エラーの報告、さまざまな遅延など) 、など)、抜け穴があります。
ステップ 1: サーバーの Web サービスを見つける