SoapUI es una herramienta Open Source con soporte para Windows y Mac OS X pensada para testear el funcionamiento de WebServices. De manera sencilla carga todos los interfaces de los ficheros WSDL o WADL
y permite que se puedan lanzar tests de funcionalidad, test de carga o
test de seguridad automatizados para evaluar el comportamiento de los
mismos.
Desde el punto de vista de una auditoría de seguridad web,
hace muy sencillo cargar el interfaz completo de un sitio y empezar a
realizar las pruebas al uso, ya que con sólo crear un proyecto con el
fichero de interfaz, ya tenemos todo lo listo para empezar a probar.
Figura 1: Creación de un proyecto con SoapUI |
Por ejemplo, la Nasa tiene muchos de los ficheros de descripción de interfaz publicados en Google,
y con crear un nuevo proyecto ya están listas todas las peticiones,
para que solo sea necesario sustituir los valores marcados con un signo
de interrogación.
Figura 2: Uno de los interfaces de la Nasa cargados con SoapUI |
La herramienta permite muchas opciones, y hay un manual de buena calidad publicado en Español,
que puedes utilizar para sacarle el máximo provecho, pero desde el
punto de vista de un auditor, lo más cómodo es tener las peticiones, y
enchufarlas a través de un proxy a tu herramienta de auditoría manual
preferida, como Zap o Burp.
Figura 3: Opción de Proxy en SoapUI |
Una vez grabadas las peticiones, ya podrás lanzar tus tests de hacking preferidos, o hacerles fuzzing,
pero si lo prefieres, puedes hacer también los tests desde la propia
herramienta, tal y como si lo hicieras directamente desde el propio
navegador.
Figura 4: Testing manual desde SoapUI |
Hay que tener en cuenta que los ficheros de interfaz de WebServices pueden dar acceso a procedimientos que no están en uso en las aplicaciones web, por lo que un proceso de crawling de la web no sacaría todos, por ello, lo mejor es cargar todos los interfaces y probarlos uno a uno.
Si quieres aprender a automatizar pruebas, José Vila en SecurityArtWork ha hecho un artículo genial sobre cómo hacerlo: Automatizando pruebas con SoapUI.
Si quieres aprender a automatizar pruebas, José Vila en SecurityArtWork ha hecho un artículo genial sobre cómo hacerlo: Automatizando pruebas con SoapUI.
Saludos Malignos!
Fuente: http://www.elladodelmal.com/2012/05/soapui-auditar-seguridad-webservices.html
No hay comentarios:
Publicar un comentario