Browse By

WSSAT v2.0 – Ferramenta de Avaliação de Segurança do Serviço da Web

O WSSAT é uma ferramenta de verificação de segurança de serviços da Web de software livre que fornece um ambiente dinâmico para adicionar, atualizar ou excluir vulnerabilidades editando apenas seus arquivos de configuração. Essa ferramenta aceita a lista de endereços WSDL como arquivo de entrada e, para cada serviço, realiza testes estáticos e dinâmicos contra as vulnerabilidades de segurança. Também faz controles de divulgação de informações . Com essa ferramenta, todos os serviços da web poderiam ser analisados ​​de uma vez e a avaliação geral de segurança poderia ser vista pela organização.

 

Objetivos do WSSAT são permitir às organizações:
  • Realize sua análise de segurança de serviços da Web de uma só vez
  • Veja a avaliação geral de segurança com relatórios
  • Endureça seus serviços da Web
WSSAT 2.0
O suporte à varredura da API REST foi adicionado com a mesma filosofia de ambiente de gerenciamento dinâmico de vulnerabilidades que os serviços SOAP. ChangeLog
As principais capacidades do WSSAT incluem:
 
Teste Dinâmico:
  • Comunicação insegura – SSL não usado
  • Método de serviço não autenticado
  • Injeção SQL Baseada em Erro
  • Cross Site Scripting
  • Bomba XML
  • Ataque de Entidade Externa – XXE
  • Injeção XPATH
  • Método de OPÇÕES HTTP
  • Rastreamento entre sites (XST)
  • Falta de cabeçalho de proteção X-XSS
  • Mensagem de falha SOAP verbosa
Análise Estática:
  • Esquema XML Fraco: Ocorrências sem Limites
  • Esquema XML Fraco: Namespace indefinido
  • Fraca WS-SecurityPolicy: transporte inseguro
  • Weak-SecurityPolicy fraco: proteção insuficiente de token de suporte
  • WS-SecurityPolicy fraco: fichas não protegidas
Vazamento de informação:
  • Divulgação de informações sobre servidores ou tecnologia
Os principais módulos do WSSAT são:
  • Analisador
  • Carregador de vulnerabilidades
  • Analisador / Atacante
  • Logger
  • Gerador de relatórios
Instalação e uso:
Para mais ajuda
A principal diferença do WSSAT é criar um ambiente de gerenciamento dinâmico de vulnerabilidades em vez de incorporar as vulnerabilidades no código.

[sociallocker id=”1005″]

Download

[/sociallocker]

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.