freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

WSSAT:一款功能强大的Web服务安全评估与审计工具
2023-08-29 02:10:38

关于WSSAT

WSSAT是一款功能强大的Web服务安全评估与审计工具,该工具完全开源,并给广大研究人员提供了一个动态环境,即只需要编辑其配置文件即可添加、更新或删除漏洞。该工具接受WSDL地址列表作为输入文件,并且针对每个服务都会对其中潜在的安全漏洞执行静态和动态测试。值得一提的是,该工具还会给我们指定好信息披露控制措施。在该工具的帮助下,所有的网络服务不仅都可以同时进行分析,而且组织还可以看到网络系统整体的安全评估。

工具特性

WSSAT的目标是允许各组织实现下列目标:

1、立即执行Web服务安全分析;

2、通过报告查看Web服务总体安全评估;

3、强化网络服务安全;

功能介绍

WSSAT的主要功能如下:

动态测试

1、不安全的通信-未使用SSL;

2、未经身份验证的服务方法;

3、基于错误的SQL注入;

4、跨站脚本漏洞;

5、XML炸弹;

6、外部实体攻击-XXE;

7、XPATH注入;

8、HTTP OPTIONS方法;

9、跨站点跟踪(XST);

10、X-XSS-Protection Header缺失;

11、SOAP故障消息Verbose输出;

静态分析

1、弱XML模式;

2、弱WS-SecurityPolicy;

信息泄漏

1、服务器或技术信息泄漏;

WSSAT的主要模块

1、解析器;

2、漏洞加载器;

3、分析器/攻击器;

4、日志记录器;

5、报告生成器;

工具要求

Windows 7或更新版本;

.Net Framework 4.7

工具安装

由于该工具基于C#开发,因此我们首先需要安装并配置好最新版本的VisualStudio

接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/YalcinYolalan/WSSAT.git

接下来,切换到WSSAT\WSSAT\bin\Debug目录,并提供读写权限以生成报告和日志。

在Visual Studio中加载项目代码,并构建项目,即可生成WSSAT.exe。

工具使用样例

工具主界面

扫描SOAP Web服务

样例WSDL文件:

文件选择界面:

自定义SOAP标签条目界面:

扫描REST API

报告生成&日志记录

自定义请求Header

许可证协议

本项目的开发与发布遵循LGPL-3.0开源许可证协议。

项目地址

WSSAT:【GitHub传送门

参考资料

https://www.visualstudio.com/downloads/

https://www.microsoft.com/en-us/download/details.aspx?id=55170

# web安全 # web服务 # 安全审计 # API安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录