使用Wsdler测试WebService接口:
在Burp里也有一个通过WSDL解析接口定义,手工测试WebService的插件:Wsdler
如果你安装了此插件,则在Burp的 Proxy >> History 中,可以直接使用【Parse WSDL】功能。
确认使用【Parse WSDL】解析功能后,此插件自动解析出服务的Operation、Binding、Endpoint。当选中某个Operation之后,可以查看SOAP消息文本。同时,可以发送到Burp的其他组件进行进一步操作。
比如,我们将上图中的消息发送到Intruder,使用字符块(Character blocks)的对参数进行边界测试。
发送Intruder后的截图如下:
使用的payload为字符串1,从1到50,即1,11,111,1111……直到50个1,来测试参数的边界长度
生成payload并执行后的结果如下图所示:
