SoapUI
es una herramienta Open Source con soporte para Windows
y Mac OS X pensada para testear el funcionamiento de WebServices. De manera
sencilla carga todos los interfaces de los ficheros WSDL o WADL y permite que
se puedan lanzar tests de funcionalidad, test de carga o test de seguridad automatizados
para evaluar el comportamiento de los mismos.
Desde
el punto de vista de una auditoría de seguridad web, hace muy sencillo cargar
el interfaz completo de un sitio y empezar a realizar las pruebas al uso, ya
que con sólo crear un proyecto con el fichero de interfaz, ya tenemos todo lo
listo para empezar a probar.
Por ejemplo, la Nasa tiene muchos de los ficheros de descripción de interfaz publicados en Google, y con crear un nuevo proyecto ya están listas todas las peticiones, para que solo sea necesario sustituir los valores marcados con un signo de interrogación.
La herramienta permite muchas opciones, y hay un manual de buena calidad publicado en Español, que puedes utilizar para sacarle el máximo provecho, pero desde el punto de vista de un auditor, lo más cómodo es tener las peticiones, y enchufarlas a través de un proxy a tu herramienta de auditoría manual preferida, como Zap o Burp.
Una vez grabadas las peticiones, ya podrás lanzar tus tests de hacking preferidos, o hacerles fuzzing, pero si lo prefieres, puedes hacer también los tests desde la propia herramienta, tal y como si lo hicieras directamente desde el propio navegador.
Hay que tener en cuenta que los ficheros de interfaz de WebServices pueden dar acceso a procedimientos que no están en uso en las aplicaciones web, por lo que un proceso de crawling de la web no sacaría todos, por ello, lo mejor es cargar todos los interfaces y probarlos uno a uno.
Leer más: Noticias de Seguridad Informática - Segu-Info
Interesante... habría que probarla.
ResponderEliminarMe parece que debemos investigar mas sobre herramientas para hacer pruebas a los servicios web ya que puede estar en peligro la seguridad de nuestra información.