8 dic. 2015

Jugando con un Web Service, WS-Security y OWASP ZAP scripting

Hace algunas semanas y durante el proceso de análisis de la seguridad de un Web Service solo quedaba probar si este era vulnerable a un ataque de inyección SQL y, como no podía ser de otra forma, lo mejor era "tirarle a dar" con sqlmap. El problema era que al ejecutarlo devolvía un error.

Lo que sigue es una descripción del proceso para llegar hasta el error y superar la restricción que lo provoca, empezando por la configuración de soapUI para generar peticiones válidas, pasando por el desarrollo de un script para conseguir reenviarlas mediante OWASP ZAP proxy y finalizando con la ejecución correcta de sqlmap consiguiendo explotar un SQL injection sobre un Web Service totalmente funcional, sencillo, pero funcional, y del que incluyo el código fuente.

Contenido completo en fuente original NeoSysForensics - @neosysforensics

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!