WSSATیک ابزار اسکنر امنیتی وب سرویس‌ها است که یک محیط پویا برای افزودن، به روز رسانی و یا حذف آسیب پذیری ها را فقط با ویرایش فایل های پیکربندی آن فراهم می کند
.
این ابزار قابلیت دریافت لیست WSDL به عنوان فایل ورودی و برای هر سرویس را دارا می‌باشد، هر دو آزمایشات ایستا و پویا را به منظور کشف آسیب پذیری های امنیتی انجام می دهد. کنترل عدم افشای اطلاعات از دیگر مشخصات برنامه است.

WSSAT دارای چند نوع ماژول است که مشخصات آن‌ها به شرح زیر است :

ماژول های مختص تست های داینامیک :

• Insecure Communication - SSL Not Used
• Unauthenticated Service Method
• Error Based SQL Injection
• Cross Site Scripting
• XML Bomb
• External Entity Attack - XXE
• XPATH Injection
• HTTP OPTIONS Method
• Cross Site Tracing (XST)
• Missing X-XSS-Protection Header
• Verbose SOAP Fault Message

ماژول های مختص تست های استاتیک :

• Weak XML Schema: Unbounded Occurrences
• Weak XML Schema: Undefined Namespace
• Weak WS-SecurityPolicy: Insecure Transport
• Weak WS-SecurityPolicy: Insufficient Supporting Token Protection
• Weak WS-SecurityPolicy: Tokens Not Protected

ماژول کنترل عدم افشای اطلاعات

• Server or technology information disclosure

ماژول های ثابت برنامه :

• Parser
• Vulnerabilities Loader
• Analyzer/Attacker
• Logger
• Report Generator

نحوه نصب :
برنامه WSSAT تنها در محیط ویندوز قابلیت اجرا و راه‌اندازی دارد و برای اجرا نیازمند نصب dotNet Framework 4.7 است.

ابتدا فایل برنامه را از مسیر زیر دانلود نموده و از حالت فشرده خارج مینماییم :




سپس به فولدر زیر رفته و WSSAT.exe را اجرا میکنیم :

WSSAT\WSSAT\bin\Debug

محیط برنامه پس از اجرا به شکل زیر است :