Инструмент оценки безопасности веб-служб: WSSAT — Information Security Squad

Инструмент оценки безопасности веб-служб: WSSAT

WSSAT — это инструмент сканирования безопасности веб-служб с открытым исходным кодом, который обеспечивает динамическую среду для добавления, обновления или удаления уязвимостей путем простого редактирования файлов конфигурации.

Этот инструмент принимает список адресов WSDL в качестве входного файла и для каждой службы, он выполняет как статические, так и динамические тесты на уязвимости безопасности.

Он также обеспечивает контроль раскрытия информации.

С помощью этого инструмента все веб-службы могут быть проанализированы сразу, и общая оценка безопасности может быть установлена.

WSSAT позволяет организациям:

• Выполните анализ безопасности своих веб-сервисов
• См. Общую оценку безопасности с отчетами
• Усилить свои веб-сервисы

Основные возможности WSSAT включают:

Динамическое тестирование:
• Небезопасная связь — SSL не используется
• Метод неавторизованной службы
• Инъекция SQL на основе ошибок
• XSS
• XML Bomb
• Атака внешнего объекта — XXE
• Инъекция XPATH
• Метод HTTP OPTIONS
• Трассировка кросс-сайтов (XST)
• Отсутствует заголовок X-XSS-Protection Header
• Подробное сообщение об ошибке SOAP

Статический анализ:
• Слабая схема XML: неограниченные ситуации
• Слабая схема XML: неопределенное пространство имен
• Слабая WS-SecurityPolicy: небезопасный транспорт
• Слабая WS-SecurityPolicy: недостаточная поддержка защиты токена
• Слабая WS-SecurityPolicy: токены не защищены
Утечки:
• Раскрытие информации о сервере или технологии

Основными модулями WSSAT являются:
• Parser
• Ускоритель Loader
• Анализатор / Атакующий
• Logger
• Генератор отчетов

Основное отличие WSSAT заключается в создании динамической среды управления уязвимостями вместо внедрения уязвимостей в код.

Скачать WSSAT

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40