Q/A: Testowanie bezpieczeństwa webservices / API REST

Kontynuując pomysł pytań otwartych do czytelników sekuraka, chciabym Was zapytać z jakich narzędzi korzystacie do testowania bezpieczeństwa webservices i/lub API REST-owych?

Samą teorię pentestów tego typu komponentów można znaleźć np. w

• siedmioczęściowym artykule o testowaniu webservice-ów tutaj, (link do kolejnych części),
• prezentacjach (np.  Blackhat – o testowaniu SOAP, czy praca człowieka z HP – testowanie API REST),
• projektach OWASP, np. tutaj.

A całość zazwyczaj sprowadza się do:

• zlokalizowania webservice-u,
• uzyskania informacji o zaimplementowanych metodach i ich strukturze,
• wygenerowania przykładowych / bazowych requestów HTTP do webservices,
• wykonania relatywnie “standardowych” testów bezpieczeństwa aplikacji na requestach z poprzedniego punktu.

Cały czas jednak brakuje narzędzi wspierających testowanie bezpieczeństwa tego typu komponentów.

• Na pewno świetną robotę potrafi robić narzędzie SoapUI (nawet jego bezpłatna wersja potrafi wygenerować odpowiednie requesty HTTP na podstawie pliku WSDL). W pełnej wersji dostępne są również zautomatyzowane pentesty

• Przydatny będzie też Burp (czy inne inne HTTP Proxy – jak np. ZAP)

Mamy też dostępne już niestety nierozwijane narzędzia:

• OWASP WSFuzzer
• OWASP WebScarab
• Były też pomysły uzupełnienia funkcjonalności ZAP-a o choćby możliwość parsowania WSDL-i – ale chyba nic z tego nie wyszło…

A Wy jakie macie doświadczenie z tego typu narzędziami? A może skutecznie używacie jakiegoś z listy powyżej? Czekam na Wasze opinie…

–ms