WebServices Testing comprende todos los conceptos que aquí se describen.
SOA (Service Orientated Architecture) / Aplicaciones de Servicios Web son sistemas en constante evolución y que permiten a las empresas interoperar con el negocio.
Los Webservice «clientes» generalmente no son usuarios web front-ends, sino del tipo back-end, expuestos como cualquier otro servicio y pueden ser utilizados en HTTP, FTP, SMTP, MQ entre otros protocolos de transporte.
El marco de servicios web utiliza el protocolo HTTP (como aplicación Web estándar) junto con las tecnologías XML, SOAP, WSDL y UDDI:
El «Web Services Description Language» (WSDL) se utiliza para describir las interfaces de un servicio.
El «Simple Object Access Protocol» (SOAP) proporciona los medios de comunicación entre los Servicios Web y las Aplicaciones de Cliente con XML y HTTP.
«Universal Descripción, Descubrimiento e Integración» (UDDI) se utiliza para registrar y publicar Servicios Web y sus características para que puedan ser encontrados de clientes potenciales.
Las vulnerabilidades en los servicios web son similares a otras como SQL injection o fugas en la divulgación de información, no obstante también tienen vulnerabilidades relacionadas con XML / parser, y que OWASP las trata.
Overview
- 4.10.1 WS Information Gathering (OWASP-WS-001)
- 4.10.2 Testing WSDL (OWASP-WS-002)
- 4.10.3 XML Structural Testing (OWASP-WS-003)
- 4.10.4 XML Content-level Testing (OWASP-WS-004)
- 4.10.5 HTTP GET parameters/REST Testing (OWASP-WS-005)
- 4.10.6 Naughty SOAP attachments (OWASP-WS-006)
- 4.10.7 Replay Testing (OWASP-WS-007)
En próximos artículos, estaremos explotando cada uno de estos puntos.
Te adelanto aquí, la vista general de cada uno de estos puntos para que tengas una referencia del alcance que tendrán dichos artículos.
Contenido de:
4.10.1 WS Information Gathering (OWASP-WS-001)
- Brief Summary
- Black Box Testing and example
- Zero Knowledge
- WSDL endpoints
- Web Services Discovery
- WS Wll Known Naming
- Search for public Web Services
- UDDI Browser
- Advanced UDDI browsingC
- Command line interaction
- SOAP XML File
¿Has tenido experiencia en este tipo de testing?
¿Sabías de OWASP y cómo es su enfoque respecto al tema?
¿Qué te parece el artículo y los que estaremos publicando?
¿Quieres colaborar con nosotros?
¿Te interesaría participar en algunas sesiones online que estaremos organizando?
Fuente:
https://www.owasp.org/index.php/Testing_for_Web_Services