近年来 Web 服务应用日趋广泛,人们往往利用 Web 服务集成不同平台的应用程序,或是将公共服务通过服务接口暴露给外部用户使用。这样便为黑客利用 Web 服务攻击企业应用提供了可乘之机。本文主要介绍如何利用 Rational AppScan 检测 Web 服务的安全漏洞。

目前使用的Web service主要为基于SOAP协议和基于REST架构,而基于REST架构越来越受到欢迎。众所周知,Rational AppScan的GSC为SOAP类型的web服务安全扫描提供了很好的解决方案,这里不再介绍。

对于REST类型的web服务,通过解读IBM的官方文档,可以知道主要有两种方法:

  1. 对调用服务的应用程序进行手工探索调用该服务,从而进行安全扫描;
  2. 利用代理使用“外部流量/客户机”进行安全扫描。

对于第1点只需要按正常的应用程序扫描对调用服务的应用进行扫描即可,但是需要确认调用服务的功能,以便进行手动探索。这里调用服务的应用既可以是页面的应用也可以是移动电话等设备的app。见图1,图2

图1 配置向导

图2 手动启动

手动探索调用服务的功能后,使用“仅测试”即可。

以下介绍利用POSTMAN或者SOUPUI进行探索,利用Appscan对探索进行扫描的方法。

  1. 如图1 ,打开配置向导,选择“外部设备/客户机”;
  2. 记录代理设置,如图3:

图3 记录代理

  1. 这里如果本机安装了POSTMAN或者SOUPUI,则选择“该设备上的外部客户机”,如果不是在本机上,则选择第一项“远程设备”,但是选择远程设备时要保证Appscan主机与安装POSTMAN或者SOUPUI的主机在同一网络;建议将Appscan与POSTMAN或者SOUPUI安装在同一机器上。
  2. 记录登录,直接点击【下一步】即可,见图4:

图4 登录

5、测试策略选择Web Service:

图5 测试策略选择

6、启动外部流量记录器:

图6 外部流量记录器

7、打开POSTMAN新建工程,然后进行代理设置

图7 代理设置

8、POSTMAN中填写参数,发送请求:

图8 发送请求

9、Appscan流量记录器会显示监测到的请求信息,将全部请求探测后,点击【停止记录】,而后Appscan会自动启动扫描,扫描完毕后,扫描选项点击【仅测试】,即可进行扫描:

图9 停止流量记录

10、如果使用的是SOUPUI,则在7、8步在SOUPUI中新建REST工程,进行代理设置,输入参数执行请求,如图10、11、12,后面操作与POSTMAN相同:

图10 SOUPUI新建REST工程

图11 代理设置

图12 发送请求

11、Appscan如果在配置向导时选择“Web Service”,将POSTMAN或SOUPUI的代理配置为Appscan配置选项中的代理,而后进行手动探索,也可取得同样的效果。

图13 Appscan代理设置

以上介绍了Appscan与POSTMAN或SOUPUI配合对REST服务进行安全扫描的方法,通过该方法可以有效的利用Appscan对Restful API进行安全扫描,保证接口服务的安全性。

利用Appscan对REST Web service进行安全扫描相关推荐

  1. 利用PHP SOAP实现web service

    一 什么是SOAP?可以做什么? SOAP 指简单对象访问协议,它是一种基于XML的消息通讯格式,用于网络上,不同平台,不同语言的应用程序间的通讯.可自定义,易于扩展.一条 SOAP 消息就是一个普通 ...

  2. 中间件——利用Axis 2 进行Web service开发(中英文双向翻译,中国邮政编码--地址信息查询)

    问题描述: 1.利用Java Swing 或SWT 开发一桌面应用程序 2.应用程序中集成以下网站提供的的Web服务:http://www.webxml.com.cn/zh_cn/web_servic ...

  3. Web Service 概念

    接触Web Service 不是很清除它到底是什么,能做什么用,经过查看大神们的博客,先大概了解下概念: 1.服务(service). 传统上,我们把计算机后台程序(Daemon)提供的功能,称为&q ...

  4. Web Service概念梳理

    计算机技术难理解的很多,Web Service 对我来说就是一个很难理解的概念:为了弄清它到底是什么,我花费了两周的时间,总算有了一些收获,参考了不少网上的资料,但有些概念说法不一.我以w3c和 一些 ...

  5. .NET应用程序中异步调用Web Service的几种方法 come from: veryhappy(wx.net)

    测试程序界面 图一,调用前界面 图二,调用后界面 详细代码实现 闲言少叙,直接进入主题吧.首先一个声明一个类(将来在客户端与服务器间传递): public class Class1     {     ...

  6. 利用SoapUI 测试web service的一些问题总结

    总结两个利用SoapUI 测试web service的一些问题: 1.请求一个soap service 请求的时候:按照下面的配置输入请求地址后, 2.根据实际service接口的需要,传入相应的参数 ...

  7. 利用SoapUI 测试web service的方法介绍

    http://boyun.sh.cn/blog/?p=1076 1. 简介 SoapUI是用java开发的测试web service的工具. 2. 安装 2.1. 下载地址 http://www.so ...

  8. 利用SoapHeader验证web service调用的合法性(dwonmoon)

    本文主要通过示例介绍利用SoapHeader验证web service调用的合法性, 一建立Web service项目,新建一个APIService.asmx 其后台代码如下 using System ...

  9. 利用IDEA部署过的Tomcat开发Web Service

    (1)使用idea开发一个Web Service: (2)开发一个客户端来调用该Web Service并展现出相应j结果: (3)编程调用网络上提供的天气预报Web Service并显示结果. (1) ...

最新文章

  1. 回车键兼容多个浏览器
  2. 静态程序分析chapter4 - 基于格(Lattice)理论的数据流分析
  3. 在O(N)时间内求解 正数数组中 两个数相加的 最大值
  4. wordpress ajax 注册,WordPress注册AJAX事件,前台后台代码演示视频教程 - 悠然自学网...
  5. 音视频技术开发周刊(第123期)
  6. 产品设计体会(8001)产品经理工作手册
  7. 特定领域因果事件图谱构建项目
  8. Notepad++ 经常使用快捷键 (MEMO)
  9. 年末盘点,2021年最值得推荐的10个提高开发效率工具,程序员必备
  10. 51php服务器稳不稳定,百度经验:两步搞定PHP-FPM优化,让服务器更平稳
  11. mathematica打包java_使用Mathematica将解决方案绘制到方程式中
  12. 问题随记 —— 无法打开包括文件: “dirent.h”: No such file or directory
  13. 用什么 软件测试无线频段,Wirelessmon无线频段与信号强度扫描工具软件使用技巧...
  14. [日推荐]『饿了么外卖服务』饿了么官方小程序,无需下载安装!
  15. CPU使用率100%,如何解决
  16. sl4a+android截屏,使用SL4A Python在android桌面上显示数据(示例)
  17. 什么是论文陈述?论文陈述怎么写?
  18. navicat远程连接腾讯云主机中MySQL
  19. WPS 两个 word 合并
  20. MOS管GS两端并联阻容的作用分析

热门文章

  1. 汽车生产线下线检测仪(EOL)的功能和使用
  2. Hadoop实战: 论坛点击流日志分析
  3. Maven - Plugins
  4. AABB是否和视锥体相交
  5. python if 多个条件判断
  6. Volatile:可见性保证+禁止指令重排
  7. 支持IE和firefox多种浏览器的加入收藏夹js代码
  8. 地大武汉C语言考研真题,2021中国地质大学武汉考研历年真题专业目录
  9. C++判断闰年 自定义函数
  10. 医院分诊系统需求分析