+54 911 66509220

Noticias

Noticias
2 Abr 2017

Testing for WebServices según OWASP – overview

/
Creado por
/
Comentarios0

WebServices Testing comprende todos los conceptos que aquí se describen.

SOA (Service Orientated Architecture) / Aplicaciones de Servicios Web son sistemas en constante evolución y que permiten a las empresas interoperar con el negocio.

Los Webservice “clientes” generalmente no son usuarios web front-ends, sino del tipo back-end, expuestos como cualquier otro servicio y pueden ser utilizados en HTTP, FTP, SMTP, MQ entre otros protocolos de transporte.

El marco de servicios web utiliza el protocolo HTTP (como aplicación Web estándar) junto con las tecnologías XML, SOAP, WSDL y UDDI:

El “Web Services Description Language” (WSDL) se utiliza para describir las interfaces de un servicio.

El “Simple Object Access Protocol” (SOAP) proporciona los medios de comunicación entre los Servicios Web y las Aplicaciones de Cliente con XML y HTTP.

“Universal Descripción, Descubrimiento e Integración” (UDDI) se utiliza para registrar y publicar Servicios Web y sus características para que puedan ser encontrados de clientes potenciales.

Las vulnerabilidades en los servicios web son similares a otras como SQL injection o fugas en la divulgación de información, no obstante también tienen vulnerabilidades relacionadas con XML / parser, y que OWASP las trata.

WebServices

 

Overview

  • 4.10.1 WS Information Gathering (OWASP-WS-001)
  • 4.10.2 Testing WSDL (OWASP-WS-002)
  • 4.10.3 XML Structural Testing (OWASP-WS-003)
  • 4.10.4 XML Content-level Testing (OWASP-WS-004)
  • 4.10.5 HTTP GET parameters/REST Testing (OWASP-WS-005)
  • 4.10.6 Naughty SOAP attachments (OWASP-WS-006)
  • 4.10.7 Replay Testing (OWASP-WS-007)

En próximos artículos, estaremos explotando cada uno de estos puntos.

Te adelanto aquí, la vista general de cada uno de estos puntos para que tengas una referencia del alcance que tendrán dichos artículos.

WebServices

Contenido de:

4.10.1 WS Information Gathering (OWASP-WS-001)

  • Brief Summary
  • Black Box Testing and example
    • Zero Knowledge
    • WSDL endpoints
    • Web Services Discovery
    • WS Wll Known Naming
    • Search for public Web Services
    • UDDI Browser
    • Advanced UDDI browsingC
    • Command line interaction
    • SOAP XML File

 

¿Has tenido experiencia en este tipo de testing?

¿Sabías de OWASP y cómo es su enfoque respecto al tema?

¿Qué te parece el artículo y los que estaremos publicando?

¿Quieres colaborar con nosotros?

¿Te interesaría participar en algunas sesiones online que estaremos organizando?

 

Envíanos tu comentario y/o sugerencia a:

info@testingbaires.com

Asunto: webservices testing

 

Fuente:

https://www.owasp.org/index.php/Testing_for_Web_Services


WebServices

Curso Online Testing de WebServices


 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

* Copy This Password *

* Type Or Paste Password Here *

12.602 Spam Comments Blocked so far by Spam Free Wordpress

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>