本期介绍的工具:WS-Attacker
应用范围:web渗透测试
优势:简单且功能齐全
WS-Attacker是一个用于web服务渗透测试的模块化框架。它是一个免费的、易于使用的web渗透测试软件,它提供了完整的一个安全检查措施,只需单击几下,就可以检测完成。
对于安全研究人员,无疑是一个较大的福利,但是对于渗透人员也是如此,技术无罪,希望越来越多的人崇尚黑客精神,弘扬互联网安全正义。
特征:针对Web服务的自动XML加密攻击
Automatic XML Signature Wrapping attack against Web Services
针对Web服务的XML拒绝服务技术
SOAPAction欺骗和WS-Addressing欺骗
更多的攻击渗透测试功能(除了Web服务之外)
应用详细步骤截图:
加载WSDL并设置请求参数
配置:SOAPAction欺骗
攻击结束了
提交测试请求
攻击结束了
配置:WS寻址欺骗
本文仅作技术分享 切勿用于非法途径
