? ? ? ? 近年來 Web 服務應用日趨廣泛，人們往往利用 Web 服務集成不同平臺的應用程序，或是將公共服務通過服務接口暴露給外部用戶使用。這樣便為黑客利用 Web 服務攻擊企業應用提供了可乘之機。本文主要介紹如何利用 Rational AppScan 檢測 Web 服務的安全漏洞。

目前使用的Web service主要為基于SOAP協議和基于REST架構，而基于REST架構越來越受到歡迎。眾所周知，Rational AppScan的GSC為SOAP類型的web服務安全掃描提供了很好的解決方案，這里不再介紹。

對于REST類型的web服務，通過解讀IBM的官方文檔，可以知道主要有兩種方法：

對調用服務的應用程序進行手工探索調用該服務，從而進行安全掃描；

利用代理使用“外部流量/客戶機”進行安全掃描。

對于第1點只需要按正常的應用程序掃描對調用服務的應用進行掃描即可，但是需要確認調用服務的功能，以便進行手動探索。這里調用服務的應用既可以是頁面的應用也可以是移動電話等設備的app。見圖1，圖2

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 圖1 配置向導

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?圖2 手動啟動

手動探索調用服務的功能后，使用“僅測試”即可。

以下介紹利用POSTMAN或者SOUPUI進行探索，利用Appscan對探索進行掃描的方法。

如圖1 ，打開配置向導，選擇“外部設備/客戶機”；

記錄代理設置，如圖3：

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?圖3 記錄代理

這里如果本機安裝了POSTMAN或者SOUPUI，則選擇“該設備上的外部客戶機”，如果不是在本機上，則選擇第一項“遠程設備”，但是選擇遠程設備時要保證Appscan主機與安裝POSTMAN或者SOUPUI的主機在同一網絡；建議將Appscan與POSTMAN或者SOUPUI安裝在同一機器上。

記錄登錄，直接點擊【下一步】即可，見圖4：

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?圖4 登錄

5、測試策略選擇Web Service:

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?圖5 測試策略選擇

6、啟動外部流量記錄器：

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 圖6 外部流量記錄器

7、打開POSTMAN新建工程，然后進行代理設置

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 圖7 代理設置

8、POSTMAN中填寫參數，發送請求：

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 圖8 發送請求

9、Appscan流量記錄器會顯示監測到的請求信息，將全部請求探測后，點擊【停止記錄】，而后Appscan會自動啟動掃描，掃描完畢后，掃描選項點擊【僅測試】，即可進行掃描：

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?圖9 停止流量記錄

10、如果使用的是SOUPUI，則在7、8步在SOUPUI中新建REST工程，進行代理設置，輸入參數執行請求，如圖10、11、12，后面操作與POSTMAN相同：

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?圖10 SOUPUI新建REST工程

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?圖11 代理設置

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?圖12 發送請求

11、Appscan如果在配置向導時選擇“Web Service”，將POSTMAN或SOUPUI的代理配置為Appscan配置選項中的代理，而后進行手動探索，也可取得同樣的效果。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?圖13 Appscan代理設置

以上介紹了Appscan與POSTMAN或SOUPUI配合對REST服務進行安全掃描的方法，通過該方法可以有效的利用Appscan對Restful API進行安全掃描，保證接口服務的安全性。

總結

以上是生活随笔為你收集整理的利用Appscan对REST Web service进行安全扫描的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。