WSSAT

WSSAT - это инструмент сканирования безопасности веб -службы с открытым исходным кодом, который предоставляет динамическую среду для добавления, обновления или удаления уязвимостей, просто редактируя файлы конфигурации. Этот инструмент принимает список адресов WSDL в качестве входного файла, и для каждой службы он выполняет как статические, так и динамические тесты против уязвимостей безопасности. Это также делает элементы управления раскрытием информации. С помощью этого инструмента все веб -сервисы могут быть проанализированы сразу, и общая оценка безопасности может быть просмотрена организацией.

Цели WSSAT - разрешить организациям:

• Выполнить анализ безопасности своих веб -сервисов одновременно
• См. Общая оценка безопасности с отчетами
• Утвердить их веб -сервисы

Поддержка сканирования API REST была добавлена ​​с той же динамической философией среды управления уязвимостью, что и SOAP Services. Изменение

Основные возможности WSSAT включают:

Динамическое тестирование:

• Небезопасная связь - SSL не используется
• Неавтотифицированный метод обслуживания
• На основе ошибок SQL -инъекция
• Сценарий поперечного сайта
• XML -бомба
• Внешняя атака сущности - xxe
• Xpath внедрение
• Метод опций HTTP
• Прослеживание поперечного сайта (XST)
• Отсутствует заголовок X-XSS-защиты
• Сообщение о словесном мыле.

Статический анализ:

• Слабая схема XML: неограниченные события
• Слабая схема XML: неопределенное пространство имен
• Слабая ws-securitypolicy: небезопасный транспорт
• Слабая WS-SecurityPolicy: недостаточная защита токенов.
• Слабый ws-securitypolicy: токены не защищены

Утечка информации:

• Раскрытие информации о сервере или технологии

Основные модули WSSAT:

• Анализатор
• Уязвимости погрузчик
• Анализатор/злоумышленник
• Регистратор
• Отчет Генератор

Установка и использование:

• Установка
• Использование

Для получения дополнительной помощи

Основное различие WSSAT заключается в создании динамической среды управления уязвимостью вместо того, чтобы внедрить уязвимости в код.

Этот проект был начат как термин «Проект» в Ближнем Восточном техническом университете (METU), программа Management Management Master.

Пожертвование:

WSSAT - это проект с открытым исходным кодом, и ваше пожертвование сделает его лучше:

 Bitcoin (BTC): 19qsms2YnaN6CY7tFsWpqwAtQyV7QFhGs4

 Ether (ETH): 0x08b543C5B2398999e8d03BC77b76329d832B2f82

 Bitcoin Cash (BCH): qps07ker5c2t3h9355taueu0u83yxfw4jye6s4na2e