Wsfuzzer Herramienta de prueba de penetración Fuzzing utilizada contra servicios web basados en SOAP HTTP
Descargar ahora

Wsfuzzer Clasificación y resumen

Wsfuzzer Etiquetas

prueba escanear ensayador Servicio web de prueba probador de penetración escáner de puerto

Wsfuzzer Descripción

Herramienta de prueba de penetración borrosa utilizada contra los servicios web basados ​​en jabón HTTP WSFuzzer es una herramienta de prueba de penetración borrosa utilizada contra los servicios web basados ​​en SOAP HTTP. WSFuzzer es capaz de probar numerosos aspectos (analizador XML, validación de entrada, etc.) del objetivo de SOAP. En la versión actual, los servicios de SOAP basados ​​en HTTP son el objetivo principal. Esta herramienta se creó en función de, y para automatizar, algunos trabajos de pruebas de pluma de jabón manual del mundo real. WSFuzzer no está destinado a ser un reemplazo para el análisis humano manual sólido. Visite WSFuzzer como una herramienta para aumentar el análisis realizado por profesionales competentes y conocedores. Los servicios web no son de naturaleza trivial, por lo que la experiencia en esta área es una necesidad para las pruebas adecuadas de la pluma. En general: WSFuzzer solo se debe usar contra objetivos que han otorgado permiso para ser probado. Aquí hay algunas características clave de "WSFuzzer": · Pen Prueba un servicio web de SOAP HTTP basado en WSDL válido, una buena carga útil XML conocida o un punto final válido y un espacio de nombres. · Puede intentar detectar inteligentemente WSDL para un objetivo determinado. · Incluye un escáner de puerto TCP simple. · WSFuzzer tiene la capacidad de difundir métodos con múltiples parámetros. Hay 2 modos de ataque / fuzzing: "individual" y "simultáneo". Cada parámetro se maneja como una entidad única (modo individual), y puede ser atacado o dejado solo, o varios parámetros se atacan simultáneamente (de ahí el nombre: modo simultáneo) con un conjunto de datos dado. · La generación de Fuzz (cadenas de ataque) consiste en una combinación de un archivo de diccionario, algunos patrones de inyección grandes dinámicos opcionales y algunos ataques específicos de métodos opcionales que incluyen la generación de ataque XXE y WSSE automatizado. · La herramienta también proporciona la opción de usar algunas técnicas de evasión de identificaciones que facilitan la experiencia de prueba de una potencia de seguridad (IDS / IPS). · Una medición del tiempo de cada viaje de ida y vuelta entre la solicitud y la respuesta se proporciona ahora a la ayuda potencialmente en el análisis de resultados. · Para cualquier programa dado, ejecute los vectores de ataque generados se guardan a un archivo XML. El archivo XML se llama XXX y se encuentra en el mismo directorio donde se guarda el archivo HTML de resultados. Se puede utilizar un archivo XML de vectores de ataque generado anteriormente en lugar del diccionario / combo automatizado. Esto es por el bien de la repetibilidad cuando los mismos vectores deben usarse una y otra vez.

Wsfuzzer Software relacionado