Se trata de WSSAT - Web Service Security Assessment Tool, un escáner de seguridad de Web Services que acepta un WSDL como entrada para cada servicio y realiza una serie de pruebas tanto estáticas como dinámicas en busca de vulnerabilidades. De esta manera las organizaciones podrán realizar un análisis de la seguridad de todos sus servicios web a la vez, fortificarlos y tener informes valiosos para obtener una valoración global de la seguridad.
- Soporta autenticación básica
- Comprueba la autenticación de cada método del web service incluso si el usuario y contraseña es suministrado en el WSDL
- Permite enviar múltiples payloads
- Examina el código de estado, la cabecera y el body HTTP del objeto de respuesta
- Soporta múltiples búsquedas en el texto de respuesta
- Realiza inyecciones SQL en bases de datos Oracle, MSSQL, MySQL y SQLite
- Comprueba el valor o la existencia de un nodo/atributo XML en el análisis stático
- Soporta la comprobación de múltiples nodos XML
- Los informes contienen 3 gráficos para visualizar el nombre, tipo y severidad de las vulnerabilidades encontradas
- Incluye modo de depuración y logs detallados
- Comunicación insegura - No se utiliza SSL
- Método de servicio no autenticado
- Inyección SQL basada en error
- Cross Site Scripting
- Bomba XML
- Ataque de entidad externa - XXE
- Inyección XPath
- Mensajes detallado de errores SOAP
- Esquema XML débil: Ocurrencias no acotadas
- Esquema XML débil: Namespace indefinido
- WS-SecurityPolicy débil: Transporte inseguro
- WS-SecurityPolicy débil: Soporte insuficiente de protección de tokens
- WS-SecurityPolicy débil: Tokens no protegidos
- Parser
- Cargador de vulnerabilidades
- Analizador/Attacker
- Logger
- Generador de informes
Fuente: HackPlayers
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!