工具特性
WSSAT的目标是允许各组织实现下列目标:
立即执行Web服务安全分析;
通过报告查看Web服务总体安全评估;
强化网络服务安全;
功能介绍
WSSAT的主要功能如下:
动态测试
不安全的通信-未使用SSL;
未经身份验证的服务方法;
基于错误的SQL注入;
跨站脚本漏洞;
XML炸弹;
外部实体攻击-XXE;
XPATH注入;
HTTP OPTIONS方法;
跨站点跟踪(XST);
X-XSS-Protection Header缺失;
SOAP故障消息Verbose输出;
静态分析
弱XML模式;
弱WS-SecurityPolicy;
信息泄漏
服务器或技术信息泄漏;
WSSAT的主要模块
解析器;
漏洞加载器;
分析器/攻击器;
日志记录器;
报告生成器;
工具要求
Windows 7或更新版本;
.Net Framework 4.7
工具安装
由于该工具基于C#开发,因此我们首先需要安装并配置好最新版本的VisualStudio。
接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/YalcinYolalan/WSSAT.git
接下来,切换到WSSAT\WSSAT\bin\Debug目录,并提供读写权限以生成报告和日志。
在Visual Studio中加载项目代码,并构建项目,即可生成WSSAT.exe。
工具使用样例
工具主界面
扫描SOAP Web服务
样例WSDL文件:
文件选择界面:
自定义SOAP标签条目界面:
扫描REST API
报告生成&日志记录
自定义请求Header
许可证协议
本项目的开发与发布遵循LGPL-3.0开源许可证协议。
项目地址
WSSAT:【GitHub传送门】
参考资料
https://www.visualstudio.com/downloads/
https://www.microsoft.com/en-us/download/details.aspx?id=55170
本文作者:Alpha_h4ck, 转载请注明来自FreeBuf.COM