WS-Attacker: Pentesting de Web Services
WS-Attacker es un Framework modular para realizar pruebas de intrusión contra servicios web. Es desarrollado por la Cátedra de Seguridad de Redes y Datos de la Universidad Ruhr de Bochumm (Alemania) y la empresa 3curity GmbH.
La idea básica detrás de WS-Attacker es proporcionar la funcionalidad para cargar archivos WSDL y enviar mensajes SOAP a los end points del Servicio Web (que se ejecuta utilizando el marco SoapUI subyacente). Esta funcionalidad puede ampliarse utilizando varios plugins y librerías para crear ataques específicos contra los Web Services. Pueded encontrar más información sobre la arquitectura de WS-Attacker y su extensibilidad en su Paper.
La idea básica detrás de WS-Attacker es proporcionar la funcionalidad para cargar archivos WSDL y enviar mensajes SOAP a los end points del Servicio Web (que se ejecuta utilizando el marco SoapUI subyacente). Esta funcionalidad puede ampliarse utilizando varios plugins y librerías para crear ataques específicos contra los Web Services. Pueded encontrar más información sobre la arquitectura de WS-Attacker y su extensibilidad en su Paper.
Características
En la versión actual WS-Attacker soporta los siguientes ataques:- SOAPAction spoofing: ver http://www.ws-attacks.org/index.php/SOAPAction_Spoofing
- WS-Addressing spoofing: ver http://www.ws-attacks.org/index.php/WS-Addressing_spoofing
- XML Signature Wrapping: ver http://nds.rub.de/media/nds/arbeiten/2012/07/24/ws-attacker-ma.pdf
- Ataques DoS basados en XML: ver https://www.nds.rub.de/research/publications/ICWS_DoS
- Nuevos ataques adaptables e inteligentes de denegación de servicio (AdIDoS)
- Ataques de cifrado XML: consultar este blogpost (http://web-in-security.blogspot.de/2015/05/how-to-attack-xml-encryption-in-ibm.html) para obtener una visión general de los ataques y referencias adicionales a trabajos científicos
Via: blog.segu-info.com.ar
WS-Attacker: Pentesting de Web Services
Reviewed by Zion3R
on
9:43
Rating:
Reviewed by Zion3R
on
9:43
Rating:
