从这一章开始,我们进入了Burp的综合使用。通过一系列的使用场景的简单学习,逐渐熟悉Burp在渗透测试中,如何结合其他的工具,组合使用,提高工作效率。本章主要讲述在测试Web Services服务中,如何使用Burp Suite和SoapUI NG Pro的组合,对服务接口进行安全测试。
本章讲述的主要内容有:
使用场景和渗透测试环境配置
渗透测试过程中组合软件的使用
使用场景和渗透测试环境配置
在日常的web测试过程中,除了基于浏览器展现技术的客户端应用程序外,基于SOAP协议进行通信的WebService服务也很常见。WebService的出现是为了解决分布式、跨平台、低耦合而实现的不同编程语言之间采用统一的数据通信的技术规范,在应用程序中,常作为独立的业务模块对外提供具体的业务功能或者为前段提供数据处理的业务接口。因SAOP协议中的接口定义使用XML作为描述性语言,这与php、jsp之类的通信交互在渗透测试上还是有很大的差异。如果使用Burp 对通信消息进行拦截抓包,一次典型的消息内容如下图所示:
其http消息头中包含SOAPAction字段,且消息体为
