自我认为挺全面的【Web Service渗透测试总结】

最新推荐文章于 2024-10-27 18:31:34 发布

IT老涵

最新推荐文章于 2024-10-27 18:31:34 发布

阅读量806

点赞数 2

分类专栏：安全网络渗透测试文章标签：前端服务器 java 安全网络安全

本文链接：https://blog.youkuaiyun.com/HBohan/article/details/123007285

版权

本文详细介绍了Web Service的基础，包括其原理、分类、关键技术和相关协议。内容涵盖SOAP、REST、WSDL和UDDI，以及如何编写Web Service程序。此外，文章还探讨了如何搜索Web Service服务，重点讲解了使用ReadyAPI+BurpSuite和SoapUI+BurpSuite进行渗透测试的方法，并列举了Web Service漏洞案例，如XSS、XXE和DoS攻击。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

一、Web Service基础

Web Service简介

Web Service是一个平台独立的、低耦合的、自包含的、基于可编程的Web的应用程序，可使用开放的XML（标准通用标记语言下的一个子集）标准来描述、发布、发现、协调和配置这些应用程序，用于开发分布式的交互操作的应用程序。

Web Service技术，能使得运行在不同机器上的不同应用无须借助附加的、专门的第三方软件或硬件，就可相互交换数据或集成。依据Web Service规范实施的应用之间，无论它们所使用的语言、平台或内部协议是什么，都可以相互交换数据。Web Service是自描述、自包含的可用网络模块，可以执行具体的业务功能。Web Service也很容易部署，因为它们基于一些常规的产业标准以及已有的一些技术，诸如标准通用标记语言下的子集XML、HTTP。Web Service减少了应用接口的花费。Web Service为整个企业甚至多个组织之间的业务流程的集成提供了一个通用机制。

Web Service的本质，就是通过网络调用其他网站的资源。Web Service架构的基本思想，就是尽量把非核心功能交给其他人去做，自己全力开发核心功能。

更简单地说，Web Service是一种跨编程语言、跨操作系统平台的远程调用技术。

Web Service基本原理

Web Service通过HTTP协议发送请求和接收结果时，发送的请求内容和结果内容都采用XML格式封装，并增加了一些特定的HTTP消息头，以说明HTTP消息的内容格式，这些特定的HTTP消息头和XML内容格式就是SOAP协议规定的。

Web Service服务器端首先要通过一个WSDL文件来说明自己有什么服务可以对外调用。WSDL就像是一个说明书，用于描述Web Service及其方法、参数和返回值。WSDL文件保存在Web服务器上，通过一个URL地址就可以访问到它。客户端要调用一个Web Service服务之前，要知道该服务的WSDL文件的地址。Web Service服务提供商可以通过两种方式来暴露它的WSDL文件地址：1.注册到UDDI服务器，以便被人查找；2.直接告诉给客户端调用者。

Web Service交互的过程就是，Web Service遵循SOAP协议通过XML封装数据，然后由HTTP协议来传输数据。

【技术干货文档】

Web Service分类

一般的，Web Service分为：

SOAP型Web Service：SOAP型Web Service允许使用XML格式与服务器进行通信；
REST型Web Service：REST型Web Service允许使用JSON格式（也可以使用XML格式）与服务器进行通信。与HTTP类似，该类型服务支持GET、POST、PUT、DELETE方法。不需要WSDL、UDDI；

Web Service三要素

Web Service三要素包括SOAP（Simple Object Access Protocol）、WSDL（WebServicesDescriptionLanguage）、UDDI（UniversalDescriptionDiscovery andIntegration）。其中SOAP用来描述传递信息的格式， WSDL用来描述如何访问具体的接口， UDDI用来管理、分发、查询Web Service 。