WSSAT, un escáner de seguridad de web services
Características:
- Soporta autenticación básica
- Comprueba la autenticación de cada método del web service incluso si el usuario y contraseña es suministrado en el WSDL
- Permite enviar múltiples payloads
- Examina el código de estado, la cabecera y el body HTTP del objeto de respuesta
- Soporta múltiples búsquedas en el texto de respuesta
- Realiza inyecciones SQL en bases de datos Oracle, MSSQL, MySQL y SQLite
- Comprueba el valor o la existencia de un nodo/atributo XML en el análisis stático
- Soporta la comprobación de múltiples nodos XML
- Los informes contienen 3 gráficos para visualizar el nombre, tipo y severidad de las vulnerabilidades encontradas
- Incluye modo de depuración y logs detallados
Pruebas dinámicas:
- Comunicación insegura - No se utiliza SSL
- Método de servicio no autenticado
- Inyección SQL basada en error
- Cross Site Scripting
- Bomba XML
- Ataque de entidad externa - XXE
- Inyección XPath
- Mensajes detallado de errores SOAP
Análisis estático:
- Esquema XML débil: Ocurrencias no acotadas
- Esquema XML débil: Namespace indefinido
- WS-SecurityPolicy débil: Transporte inseguro
- WS-SecurityPolicy débil: Soporte insuficiente de protección de tokens
- WS-SecurityPolicy débil: Tokens no protegidos
Fuga de información:
- Descubrimiento de información del servidor o tecnología
Los principales módulos de WSSAT son:
- Parser
- Cargador de vulnerabilidades
- Analizador/Attacker
- Logger
- Generador de informes
Proyecto: https://github.com/YalcinYolalan/WSSAT
Via: www.hackplayers.com
WSSAT, un escáner de seguridad de web services
Reviewed by Zion3R
on
19:31
Rating:
Reviewed by Zion3R
on
19:31
Rating:
