Web服务

您可以通过将Swagger或WSDL文件添加到AppSpider中来测试REST和SOAP web服务。Swagger和WSDL文件定义了与编程语言无关的api的标准接口。AppSpider解析这些文档,生成API的函数调用,并为预期参数创建测试值。然后AppSpider对你的API执行这些函数调用,并检查交互中是否存在漏洞。

您可以上传WSDL或Swagger文件以进行扫描,或者为该文件提供URL。如果这个URL只在您的内部网络中可用,那么您必须在同一网络中安装一个扫描引擎,并确保该引擎能够访问该文件。

使用Swagger文件扫描RESTful api

扫描REST接口。

  1. 打开Web服务> Swagger屏幕上。
  2. 在“Swaggers List”部分,点击添加从您的计算机中提供一个用于扫描的Swagger文件。如果文件是在线托管的,请在表的第一行中添加URL并按Enter。如果有多个Swagger文件,则重复此过程。
  3. 选择限制扫描Swagger导入的文件选项,以确保扫描仅限于Swagger文件中描述的API功能。
  4. 如果API需要身份验证,您可以在身份验证选项卡。如果API需要API键或其他特殊的头信息,请将它们添加到HTTP头信息屏幕上。

使用WSDL文件扫描api

使用WSDL文件扫描api:

  1. 打开Web服务> WSDL屏幕上。
  1. 如果目标应用程序承载WSDL文件,则选择自动发现选项,并设置正则表达式字段转换为匹配WSDL文件URL的正则表达式。
  2. 内容类型字段,当扫描程序无法从WSDL提取内容类型信息时,在SOAP请求中输入要发送给web服务器的内容类型。
  3. 如果你的API使用了。net的Web服务增强插件,请检查Web服务的改进选择。
  4. 如果API需要身份验证,请在相应的字段中输入用户名和密码。
  5. 如果您有其他无法自动发现的WSDL文件,请将它们添加到WSDL List部分。点击添加从您的计算机提供WSDL文件进行扫描。如果文件是在线托管的,在表格的第一行添加URL并按enter。如果有多个WSDL文件,则重复此过程。
  6. 选择限制扫描到Web服务选项,以确保扫描仅限于WSDL文件中描述的API功能。

Web服务身份验证

配置AppSpider到你的web服务中进行身份验证:

  1. 打开Web服务> Web服务身份验证屏幕上。
  2. 选择要进行身份验证的web服务。web服务必须是在线的,以便接下来的步骤能够成功。
  3. 点击刷新.WSDL文件中的方法将被填充到“身份验证Web方法”下拉列表中。
  4. 属性中选择身份验证方法身份验证Web方法下拉。
  5. 输入身份验证方法的参数值。
  6. 身份验证方法可能返回一个令牌,该令牌必须与所有后续方法调用一起发送。选择提取并应用身份验证令牌选项,如果将从web服务接收身份验证令牌。
  7. 单击提取按钮。这将执行身份验证方法并填充认证方法响应中的AuthToken参数名称下拉。
  8. 从包含身份验证令牌的身份验证方法响应中选择参数。
  9. 在“regular (non-auth) method request”下拉列表中的**AuthToken参数名中,提供提取的令牌需要去的地方的参数。