Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Q/A: Testowanie bezpieczeństwa webservices / API REST
Kontynuując pomysł pytań otwartych do czytelników sekuraka, chciabym Was zapytać z jakich narzędzi korzystacie do testowania bezpieczeństwa webservices i/lub API REST-owych?
Samą teorię pentestów tego typu komponentów można znaleźć np. w
- siedmioczęściowym artykule o testowaniu webservice-ów tutaj, (link do kolejnych części),
- prezentacjach (np. Blackhat – o testowaniu SOAP, czy praca człowieka z HP – testowanie API REST),
- projektach OWASP, np. tutaj.
A całość zazwyczaj sprowadza się do:
- zlokalizowania webservice-u,
- uzyskania informacji o zaimplementowanych metodach i ich strukturze,
- wygenerowania przykładowych / bazowych requestów HTTP do webservices,
- wykonania relatywnie „standardowych” testów bezpieczeństwa aplikacji na requestach z poprzedniego punktu.
Cały czas jednak brakuje narzędzi wspierających testowanie bezpieczeństwa tego typu komponentów.
- Na pewno świetną robotę potrafi robić narzędzie SoapUI (nawet jego bezpłatna wersja potrafi wygenerować odpowiednie requesty HTTP na podstawie pliku WSDL). W pełnej wersji dostępne są również zautomatyzowane pentesty
Mamy też dostępne już niestety nierozwijane narzędzia:
- OWASP WSFuzzer
- OWASP WebScarab
- Były też pomysły uzupełnienia funkcjonalności ZAP-a o choćby możliwość parsowania WSDL-i – ale chyba nic z tego nie wyszło…
A Wy jakie macie doświadczenie z tego typu narzędziami? A może skutecznie używacie jakiegoś z listy powyżej? Czekam na Wasze opinie…
Jeśli chciałbyś zadać własne pytanie – które będzie opublikowane na sekuraku – prośba o maila na adres: sekurak@.sekurak.pl
–ms