WSSATیک ابزار اسکنر امنیتی وب سرویسها است که یک محیط پویا برای افزودن، به روز رسانی و یا حذف آسیب پذیری ها را فقط با ویرایش فایل های پیکربندی آن فراهم می کند
.
این ابزار قابلیت دریافت لیست WSDL به عنوان فایل ورودی و برای هر سرویس را دارا میباشد، هر دو آزمایشات ایستا و پویا را به منظور کشف آسیب پذیری های امنیتی انجام می دهد. کنترل عدم افشای اطلاعات از دیگر مشخصات برنامه است.
WSSAT دارای چند نوع ماژول است که مشخصات آنها به شرح زیر است :
ماژول های مختص تست های داینامیک :
ماژول های مختص تست های استاتیک :
ماژول کنترل عدم افشای اطلاعات
ماژول های ثابت برنامه :
نحوه نصب :
برنامه WSSAT تنها در محیط ویندوز قابلیت اجرا و راهاندازی دارد و برای اجرا نیازمند نصب dotNet Framework 4.7 است.
ابتدا فایل برنامه را از مسیر زیر دانلود نموده و از حالت فشرده خارج مینماییم :
سپس به فولدر زیر رفته و WSSAT.exe را اجرا میکنیم :
WSSAT\WSSAT\bin\Debug
محیط برنامه پس از اجرا به شکل زیر است :
.
این ابزار قابلیت دریافت لیست WSDL به عنوان فایل ورودی و برای هر سرویس را دارا میباشد، هر دو آزمایشات ایستا و پویا را به منظور کشف آسیب پذیری های امنیتی انجام می دهد. کنترل عدم افشای اطلاعات از دیگر مشخصات برنامه است.
WSSAT دارای چند نوع ماژول است که مشخصات آنها به شرح زیر است :
ماژول های مختص تست های داینامیک :
- Insecure Communication - SSL Not Used
- Unauthenticated Service Method
- Error Based SQL Injection
- Cross Site Scripting
- XML Bomb
- External Entity Attack - XXE
- XPATH Injection
- HTTP OPTIONS Method
- Cross Site Tracing (XST)
- Missing X-XSS-Protection Header
- Verbose SOAP Fault Message
ماژول های مختص تست های استاتیک :
- Weak XML Schema: Unbounded Occurrences
- Weak XML Schema: Undefined Namespace
- Weak WS-SecurityPolicy: Insecure Transport
- Weak WS-SecurityPolicy: Insufficient Supporting Token Protection
- Weak WS-SecurityPolicy: Tokens Not Protected
ماژول کنترل عدم افشای اطلاعات
- Server or technology information disclosure
ماژول های ثابت برنامه :
- Parser
- Vulnerabilities Loader
- Analyzer/Attacker
- Logger
- Report Generator
نحوه نصب :
برنامه WSSAT تنها در محیط ویندوز قابلیت اجرا و راهاندازی دارد و برای اجرا نیازمند نصب dotNet Framework 4.7 است.
ابتدا فایل برنامه را از مسیر زیر دانلود نموده و از حالت فشرده خارج مینماییم :
سپس به فولدر زیر رفته و WSSAT.exe را اجرا میکنیم :
WSSAT\WSSAT\bin\Debug
محیط برنامه پس از اجرا به شکل زیر است :