WSSAT – это инструмент сканирования безопасности веб-служб с открытым исходным кодом, который обеспечивает динамическую среду для добавления, обновления или удаления уязвимостей путем простого редактирования файлов конфигурации.
Этот инструмент принимает список адресов WSDL в качестве входного файла и для каждой службы, он выполняет как статические, так и динамические тесты на уязвимости безопасности.
Он также обеспечивает контроль раскрытия информации.
С помощью этого инструмента все веб-службы могут быть проанализированы сразу, и общая оценка безопасности может быть установлена.
WSSAT позволяет организациям:
• Выполните анализ безопасности своих веб-сервисов
• См. Общую оценку безопасности с отчетами
• Усилить свои веб-сервисы
Основные возможности WSSAT включают:
Динамическое тестирование:
• Небезопасная связь – SSL не используется
• Метод неавторизованной службы
• Инъекция SQL на основе ошибок
• XSS
• XML Bomb
• Атака внешнего объекта – XXE
• Инъекция XPATH
• Метод HTTP OPTIONS
• Трассировка кросс-сайтов (XST)
• Отсутствует заголовок X-XSS-Protection Header
• Подробное сообщение об ошибке SOAP
• Слабая схема XML: неограниченные ситуации
• Слабая схема XML: неопределенное пространство имен
• Слабая WS-SecurityPolicy: небезопасный транспорт
• Слабая WS-SecurityPolicy: недостаточная поддержка защиты токена
• Слабая WS-SecurityPolicy: токены не защищены
• Раскрытие информации о сервере или технологии
Основными модулями WSSAT являются:
• Parser
• Ускоритель Loader
• Анализатор / Атакующий
• Logger
• Генератор отчетов