ОРИГИНАЛЬНАЯ СТАТЬЯ
ПЕРЕВЕДЕНО СПЕЦИАЛЬНО ДЛЯ xss.pro
$600 на SSD для Jolah Milovski ---> 0x5B1f2Ac9cF5616D9d7F1819d1519912e85eb5C09 для поднятия ноды ETHEREUM и тестов
Хотя затраты, время безотказной работы, поддержка клиентов и масштабируемость являются критическими факторами, которые следует учитывать при развертывании веб-службы, откладывать ее безопасность на второй план — плохая практика, которая может привести к катастрофическим последствиям для бизнеса. Поскольку злоумышленники используют уязвимости на веб-сайтах и в приложениях для кражи конфиденциальной информации и разорения компаний, важно понимать важность ваших данных и средства, которые вы можете использовать для их защиты. Защита вашего веб-сервиса или приложения от взлома может гарантировать, что вы продолжите беспрепятственно двигаться по плану своего бизнеса, чтобы безопасно использовать свои данные для оптимизации операций, улучшения обслуживания клиентов, персонализации маркетинговых кампаний и увеличения доходов и прибыли. Неотъемлемой частью хостинга веб-сервисов является знание основных методов его защиты. В этой статье рассматриваются веб-службы, принципы их работы, их слабые стороны и способы их защиты при тестировании на проникновение.
Веб-служба — это программное обеспечение, состоящее из стандартизированной системы обмена сообщениями XML, которая использует Интернет для облегчения взаимодействия между веб-приложениями.
Поскольку все коммуникации веб-сервисов осуществляются в формате XML, они не ограничены какой-либо операционной системой или языком программирования, что облегчает межплатформенное взаимодействие между приложениями, использующими Windows, Unix, Perl, Python и Java.
Открытые стандарты, такие как TCP/IP, HTTP, Java, HTML и XML, являются основой для веб-служб.
Широкое распространение веб-сервисов в облачных, правительственных или сервис-ориентированных архитектурах привело к более широкому кругу проблем безопасности, таких как атаки путем внедрения, фишинг, атаки типа «отказ в обслуживании» (DoS) и многое другое. Стоит знать, что тестирование на проникновение — это практический подход к выявлению и устранению уязвимостей при одновременном уменьшении общей поверхности атаки веб-сервисов.
Как работают веб-сервисы?
Веб-службы используют XML для маркировки данных, SOAP для передачи сообщений и WSDL для описания доступности службы. Для лучшего понимания рассмотрим анатомию веб-службы на основе SOAP. Здесь веб-сервисы содержат различные компоненты, поддерживающие стандарт связи. Когда какой-либо потребитель услуг хочет использовать веб-службу, ему необходимо запросить ее у поставщика услуг.
XML-данных в формате SOAP получатель службы передает запросы поставщику службы для любых веб-служб, указанных в файле WSDL.
Затем поставщики услуг предоставляют потребителям услуг файл WSDL, который определяет способ доступа к веб-службам.
Если потребитель услуг не знает ни одного поставщика веб-службы, он будет искать UDDI, который поддерживает список поставщиков услуг для конкретной веб-службы.
Платформы веб-сервисов представляют собой комбинацию XML и HTTP. Их анатомия может состоять из следующих четырех элементов:
XML
Расширяемый язык разметки (XML) — это язык, используемый для общения в форме сообщений SOAP.
SOAP
Простой протокол доступа к объектам (SOAP) — это формат, используемый для отправки XML-запросов. Здесь, используя протокол SOAP, клиент может отправить запрос службы на сервер поставщика веб-службы, который затем ответит тем же протоколом с запрошенной службой. Сообщения SOAP состоят из элемента Root Envelope, который указывает заголовок и тело сообщения. Необязательный заголовок SOAP может содержать метаданные или специфичную для приложения информацию о сообщениях SOAP, включая атрибуты для обработки директивы. Тело SOAP содержит фактические данные XML, или сообщение SOAP хранит операции и параметры веб-службы. Конкретная структура сообщения SOAP предназначена для связи с веб-службой, а язык описания веб-службы (WSDL) описывает информацию о привязке.
UDDI
Universal Description, Discovery, and Integration (UDDI) содержит список поставщиков услуг, которые зарегистрировались для определенной веб-службы, поэтому потребители запросов или клиенты могут найти всех поставщиков услуг для любой веб-службы в UDDI.
WSDL
Файл языка описания веб-служб (WSDL) состоит из разделов, содержащих всю необходимую информацию о тестируемой веб-службе.
Первый раздел описывает логический интерфейс, предлагаемый поставщиком веб-сервиса. Второй предоставляет клиентам информацию о конечных точках, например, номера портов HTTP, и инструкции по составлению запросов веб-службы, например, как должно быть представлено и доставлено сообщение SOAP.
Тестирование на проникновение в веб-службы
Защита веб-сервисов необходима для того, чтобы злоумышленники не смогли перехватить данные, передаваемые между пользователем и веб-сервисом.
Такие атаки происходят в основном потому, что хакеры могут использовать уязвимости вашей веб-службы и обойти элементы управления ее приложения.
Тестирование на проникновение - отличное решение для выявления проблемных сервисов и приложений с потенциальными уязвимостями и неправильной конфигурацией.
Вот некоторые из распространенных векторов атак, которые злоумышленники используют для получения доступа к вашим веб-приложениям:
Необходимые условия для тестирования веб-служб на проникновение
Прежде чем проводить тестирование на проникновение в веб-сервисы, необходимо получить образец файла API, например, WSDL или SOAP, образцы запросов и ответов для понимания значений и разбора данных, а также точки входа/URL. Ниже приведены конкретные требования для проведения пен-тестов "черного" и "серого" ящиков.
Для проведения теста на проникновение в API веб-службы "черного ящика" потребуется файл Web Service Description Language (WSDL).
Предпосылки тестирования на проникновение веб-сервисов "серого ящика":
Для проведения теста на проникновение в API веб-службы "серого ящика" требуются образцы запросов и ответов для методов вместе с файлом WSDL.
Этапы тестирования веб-сервиса на проникновение
Наши тесты на проникновение в веб-сервис обычно состоят из этапов:
Сбор информации
Google dorks для обнаружения веб-служб для веб-сайтов, размещенных в сети
UDDI
Обнаружение веб-сервиса при отсутствии предоставленного WSDL
Обнаружение типов аутентификации
Инструменты для пентеста веб-служб
Инструменты играют важную роль в проведении практических тестов на проникновение. У нас есть два типа инструментов тестирования, автоматизированные и ручные, для проведения тестирования на проникновение в безопасность API.
Автоматизированные инструменты тестирования
SoapUI Pro
OWASP ZAP
IBM AppScan
HP Webinspect
WSBang
WSMap
WSDigger
Ручные инструменты
Soap UI Free
Burp Suite Pro
Postman (с burp)
Расширения
Редактор SAML
SAML Encoder / Decoder
WSDL Wizard
Wsdler
SOA Client
Тестовые случаи, которые можно найти в веб-сервисах
Ниже перечислены некоторые векторы атак, которые тестирование на проникновение помогает выявить и смягчить.
Fuzzing
XSS /SQLi/ Деформированный XML
Загрузка файлов
Инъекция Xpath
XML-бомба (DoS)
Атаки на основе аутентификации
Атаки повторного воспроизведения
Фиксация сеанса
Обертывание подписи XML
Таймаут сессии
Поддержка шифров хоста/действительных сертификатов/поддержка протоколов
Поддержка алгоритмов хэширования
Если оставить эти тестовые случаи веб-служб без внимания, это может увеличить поверхность атаки ваших веб-сайтов и приложений.
Критически важной практикой является периодическое проведение сканирования для отсеивания и смягчения таких угроз. SOAP UI Pro - это надежный инструмент, который поможет быстро выявить все эксплойты, поражающие ваши системы.
Как провести сканирование с помощью SOAP UI
Выполнение автоматического сканирования с помощью SOAP UI позволяет получить предварительный отчет о безопасности задействованных веб-служб из первых рук. Давайте рассмотрим шаги и подход, которые использует SOAP UI Pro для обеспечения точного и всестороннего сканирования вашей веб-службы.
Шаг 1: Запустите приложение SOAP UI и создайте функциональный тестовый пример.
Шаг 2: Создайте новый тест безопасности из простого раскрывающегося меню TestSuite.
Шаг 3: Выберите режим «Авто», чтобы генерировать проверки безопасности и утверждения по умолчанию для шагов тестирования в вашем TestCase, и нажмите кнопку «Далее».
Шаг 4: Нажмите «ОК», чтобы создать тест безопасности с описанной конфигурацией, и откройте окно «Тест безопасности»:
Шаг 5: Теперь запустите тест безопасности.
Шаг 6. После завершения сканирования SOAP UI Pro представит сводку с подробным обзором каждого шага тестирования, проверок безопасности, проведенных на каждом из них, а также параметров и утверждений. С помощью этого вывода вы можете установить, где вы уязвимы, и создать отчеты об оценке для вашей оценки.
Вы можете практиковать тесты на проникновение в VMS (операционная система на основе виртуальной памяти) для выявления уязвимостей в веб-службах с помощью таких инструментов, как OWASP Mutillidae, OWASP WebGoat, DVWS и PenTester Lab: Axis2 Web Service и Tomcat Manager.
ПЕРЕВЕДЕНО СПЕЦИАЛЬНО ДЛЯ xss.pro
$600 на SSD для Jolah Milovski ---> 0x5B1f2Ac9cF5616D9d7F1819d1519912e85eb5C09 для поднятия ноды ETHEREUM и тестов
Хотя затраты, время безотказной работы, поддержка клиентов и масштабируемость являются критическими факторами, которые следует учитывать при развертывании веб-службы, откладывать ее безопасность на второй план — плохая практика, которая может привести к катастрофическим последствиям для бизнеса. Поскольку злоумышленники используют уязвимости на веб-сайтах и в приложениях для кражи конфиденциальной информации и разорения компаний, важно понимать важность ваших данных и средства, которые вы можете использовать для их защиты. Защита вашего веб-сервиса или приложения от взлома может гарантировать, что вы продолжите беспрепятственно двигаться по плану своего бизнеса, чтобы безопасно использовать свои данные для оптимизации операций, улучшения обслуживания клиентов, персонализации маркетинговых кампаний и увеличения доходов и прибыли. Неотъемлемой частью хостинга веб-сервисов является знание основных методов его защиты. В этой статье рассматриваются веб-службы, принципы их работы, их слабые стороны и способы их защиты при тестировании на проникновение.
Что такое веб-сервис?
Веб-служба — это программное обеспечение, состоящее из стандартизированной системы обмена сообщениями XML, которая использует Интернет для облегчения взаимодействия между веб-приложениями.
Поскольку все коммуникации веб-сервисов осуществляются в формате XML, они не ограничены какой-либо операционной системой или языком программирования, что облегчает межплатформенное взаимодействие между приложениями, использующими Windows, Unix, Perl, Python и Java.
Открытые стандарты, такие как TCP/IP, HTTP, Java, HTML и XML, являются основой для веб-служб.
Широкое распространение веб-сервисов в облачных, правительственных или сервис-ориентированных архитектурах привело к более широкому кругу проблем безопасности, таких как атаки путем внедрения, фишинг, атаки типа «отказ в обслуживании» (DoS) и многое другое. Стоит знать, что тестирование на проникновение — это практический подход к выявлению и устранению уязвимостей при одновременном уменьшении общей поверхности атаки веб-сервисов.
Как работают веб-сервисы?
Веб-службы используют XML для маркировки данных, SOAP для передачи сообщений и WSDL для описания доступности службы. Для лучшего понимания рассмотрим анатомию веб-службы на основе SOAP. Здесь веб-сервисы содержат различные компоненты, поддерживающие стандарт связи. Когда какой-либо потребитель услуг хочет использовать веб-службу, ему необходимо запросить ее у поставщика услуг.
XML-данных в формате SOAP получатель службы передает запросы поставщику службы для любых веб-служб, указанных в файле WSDL.
Затем поставщики услуг предоставляют потребителям услуг файл WSDL, который определяет способ доступа к веб-службам.
Если потребитель услуг не знает ни одного поставщика веб-службы, он будет искать UDDI, который поддерживает список поставщиков услуг для конкретной веб-службы.
Компоненты веб-сервисов
Веб-сервис в основном состоит из двух компонентов:- Потребитель службы. Потребитель службы — это клиент, который запрашивает определенные веб-службы.
- Поставщик услуг . Поставщик услуг — это сервер, который получает запросы и отвечает клиенту.
Анатомия веб-сервисов
Платформы веб-сервисов представляют собой комбинацию XML и HTTP. Их анатомия может состоять из следующих четырех элементов:
XML
Расширяемый язык разметки (XML) — это язык, используемый для общения в форме сообщений SOAP.
SOAP
UDDI
Universal Description, Discovery, and Integration (UDDI) содержит список поставщиков услуг, которые зарегистрировались для определенной веб-службы, поэтому потребители запросов или клиенты могут найти всех поставщиков услуг для любой веб-службы в UDDI.
WSDL
Файл языка описания веб-служб (WSDL) состоит из разделов, содержащих всю необходимую информацию о тестируемой веб-службе.
Первый раздел описывает логический интерфейс, предлагаемый поставщиком веб-сервиса. Второй предоставляет клиентам информацию о конечных точках, например, номера портов HTTP, и инструкции по составлению запросов веб-службы, например, как должно быть представлено и доставлено сообщение SOAP.
Тестирование на проникновение в веб-службы
Защита веб-сервисов необходима для того, чтобы злоумышленники не смогли перехватить данные, передаваемые между пользователем и веб-сервисом.
Такие атаки происходят в основном потому, что хакеры могут использовать уязвимости вашей веб-службы и обойти элементы управления ее приложения.
Тестирование на проникновение - отличное решение для выявления проблемных сервисов и приложений с потенциальными уязвимостями и неправильной конфигурацией.
Вот некоторые из распространенных векторов атак, которые злоумышленники используют для получения доступа к вашим веб-приложениям:
- Инъекция команд SQL/OS
- проблемы авторизации
- Перечисление WSDL
- Нарушенный контроль доступа
- Инъекция Xpath
- Подделка сеансов
- Грубая сила
- Обход каталога
- Подмена содержимого
- Раскрытие информации
Необходимые условия для тестирования веб-служб на проникновение
Прежде чем проводить тестирование на проникновение в веб-сервисы, необходимо получить образец файла API, например, WSDL или SOAP, образцы запросов и ответов для понимания значений и разбора данных, а также точки входа/URL. Ниже приведены конкретные требования для проведения пен-тестов "черного" и "серого" ящиков.
Для проведения теста на проникновение в API веб-службы "черного ящика" потребуется файл Web Service Description Language (WSDL).
Предпосылки тестирования на проникновение веб-сервисов "серого ящика":
Для проведения теста на проникновение в API веб-службы "серого ящика" требуются образцы запросов и ответов для методов вместе с файлом WSDL.
Этапы тестирования веб-сервиса на проникновение
Наши тесты на проникновение в веб-сервис обычно состоят из этапов:
Сбор информации
Google dorks для обнаружения веб-служб для веб-сайтов, размещенных в сети
UDDI
Обнаружение веб-сервиса при отсутствии предоставленного WSDL
Обнаружение типов аутентификации
Инструменты для пентеста веб-служб
Инструменты играют важную роль в проведении практических тестов на проникновение. У нас есть два типа инструментов тестирования, автоматизированные и ручные, для проведения тестирования на проникновение в безопасность API.
Автоматизированные инструменты тестирования
SoapUI Pro
OWASP ZAP
IBM AppScan
HP Webinspect
WSBang
WSMap
WSDigger
Ручные инструменты
Soap UI Free
Burp Suite Pro
Postman (с burp)
Расширения
Редактор SAML
SAML Encoder / Decoder
WSDL Wizard
Wsdler
SOA Client
Тестовые случаи, которые можно найти в веб-сервисах
Ниже перечислены некоторые векторы атак, которые тестирование на проникновение помогает выявить и смягчить.
Fuzzing
XSS /SQLi/ Деформированный XML
Загрузка файлов
Инъекция Xpath
XML-бомба (DoS)
Атаки на основе аутентификации
Атаки повторного воспроизведения
Фиксация сеанса
Обертывание подписи XML
Таймаут сессии
Поддержка шифров хоста/действительных сертификатов/поддержка протоколов
Поддержка алгоритмов хэширования
Если оставить эти тестовые случаи веб-служб без внимания, это может увеличить поверхность атаки ваших веб-сайтов и приложений.
Критически важной практикой является периодическое проведение сканирования для отсеивания и смягчения таких угроз. SOAP UI Pro - это надежный инструмент, который поможет быстро выявить все эксплойты, поражающие ваши системы.
Как провести сканирование с помощью SOAP UI
Выполнение автоматического сканирования с помощью SOAP UI позволяет получить предварительный отчет о безопасности задействованных веб-служб из первых рук. Давайте рассмотрим шаги и подход, которые использует SOAP UI Pro для обеспечения точного и всестороннего сканирования вашей веб-службы.
Шаг 1: Запустите приложение SOAP UI и создайте функциональный тестовый пример.
Шаг 2: Создайте новый тест безопасности из простого раскрывающегося меню TestSuite.
Шаг 3: Выберите режим «Авто», чтобы генерировать проверки безопасности и утверждения по умолчанию для шагов тестирования в вашем TestCase, и нажмите кнопку «Далее».
Шаг 4: Нажмите «ОК», чтобы создать тест безопасности с описанной конфигурацией, и откройте окно «Тест безопасности»:
Шаг 5: Теперь запустите тест безопасности.
Шаг 6. После завершения сканирования SOAP UI Pro представит сводку с подробным обзором каждого шага тестирования, проверок безопасности, проведенных на каждом из них, а также параметров и утверждений. С помощью этого вывода вы можете установить, где вы уязвимы, и создать отчеты об оценке для вашей оценки.
Вы можете практиковать тесты на проникновение в VMS (операционная система на основе виртуальной памяти) для выявления уязвимостей в веб-службах с помощью таких инструментов, как OWASP Mutillidae, OWASP WebGoat, DVWS и PenTester Lab: Axis2 Web Service и Tomcat Manager.