使用Wsdler测试WebService接口:

在Burp里也有一个通过WSDL解析接口定义,手工测试WebService的插件:Wsdler

Burp Suite 测试Web Services 接口漏洞

如果你安装了此插件,则在Burp的 Proxy >> History 中,可以直接使用【Parse WSDL】功能。

Burp Suite 测试Web Services 接口漏洞


确认使用【Parse WSDL】解析功能后,此插件自动解析出服务的Operation、Binding、Endpoint。当选中某个Operation之后,可以查看SOAP消息文本。同时,可以发送到Burp的其他组件进行进一步操作。

Burp Suite 测试Web Services 接口漏洞

比如,我们将上图中的消息发送到Intruder,使用字符块(Character blocks)的对参数进行边界测试。

Burp Suite 测试Web Services 接口漏洞

发送Intruder后的截图如下:

Burp Suite 测试Web Services 接口漏洞

使用的payload为字符串1,从1到50,即1,11,111,1111……直到50个1,来测试参数的边界长度

Burp Suite 测试Web Services 接口漏洞

生成payload并执行后的结果如下图所示:

Burp Suite 测试Web Services 接口漏洞