在现代的基于Web的应用程序中,Web服务的使用是不可避免的,并且它们也容易受到攻击.由于Web服务请求从多个网站获取,开发人员必须采取一些额外的措施,以避免黑客的任何渗透.
第1步导航到Webgoat的Web服务区域并转到WSDL Scanning.我们现在需要获取其他一些帐号的信用卡详细信息.场景的快照如下所述.
第2步如果我们选择第一个名称,则'getFirstName'函数调用是通过SOAP请求xml进行的.
第3步通过打开WSDL,我们可以看到有一种方法可以检索信用卡信息以及'getCreditCard'.现在让我们使用Burp套件篡改输入,如下所示
第4步现在让我们使用Burp套件修改输入,如下所示
第5步我们可以获取其他用户的信用卡信息.
由于SOAP消息是基于XML的,因此必须将所有传递的凭证转换为文本格式.因此,必须非常小心地传递必须始终加密的敏感信息.
通过实施校验和应用以确保数据包的机制来保护消息完整性完整性.
保护消息机密性 - 应用非对称加密来保护对称会话密钥,在许多实现中,对称会话密钥仅对一个通信有效,随后被丢弃.
