Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Q/A: Testowanie bezpieczeństwa webservices / API REST

24 stycznia 2015, 15:10 | W biegu | 0 komentarzy

Kontynuując pomysł pytań otwartych do czytelników sekuraka, chciabym Was zapytać z jakich narzędzi korzystacie do testowania bezpieczeństwa webservices i/lub API REST-owych?

Samą teorię pentestów tego typu komponentów można znaleźć np. w

A całość zazwyczaj sprowadza się do:

  • zlokalizowania webservice-u,
  • uzyskania informacji o zaimplementowanych metodach i ich strukturze,
  • wygenerowania przykładowych / bazowych requestów HTTP do webservices,
  • wykonania relatywnie „standardowych” testów bezpieczeństwa aplikacji na requestach z poprzedniego punktu.

Cały czas jednak brakuje narzędzi wspierających testowanie bezpieczeństwa tego typu komponentów.

  • Na pewno świetną robotę potrafi robić narzędzie SoapUI (nawet jego bezpłatna wersja potrafi wygenerować odpowiednie requesty HTTP na podstawie pliku WSDL). W pełnej wersji dostępne są również zautomatyzowane pentesty

soap-ui

  • Przydatny będzie też Burp (czy inne inne HTTP Proxy – jak np. ZAP)

Mamy też dostępne już niestety nierozwijane narzędzia:

wscarab

A Wy jakie macie doświadczenie z tego typu narzędziami? A może skutecznie używacie jakiegoś z listy powyżej? Czekam na Wasze opinie…

Jeśli chciałbyś zadać własne pytanie – które będzie opublikowane na sekuraku – prośba o maila na adres: sekurak@.sekurak.pl

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz