WSFuzer WSFUZZER ist ein schwimmendes Penetrationstest-Tool, das gegen HTTP SOAP-basierte Web-Services verwendet wird.
Jetzt downloaden

WSFuzer Ranking & Zusammenfassung

WSFuzer Stichworte

testen Fuzzing XML-Parser Penetration Penetrationstests. Fuzzing-Attacken

WSFuzer Beschreibung

WSFUZZER ist ein schwimmendes Penetrationstestwerkzeug, das gegen HTTP SOAP-basierte Webdienste verwendet wird. WSFUZZER ist ein schwimmendes Penetrationstestwerkzeug, das gegen HTTP SOAP-basierte Webdienste verwendet wird. Es ist ein GPL-lizenziertes Programm, das in Python geschrieben wurde, der derzeit Web Services abzielt. In der aktuellen Version sind HTTP-basierte SOAP-Dienste das Hauptziel. Dieses Tool wurde basierend auf der Basierend auf der Basierend auf der Suche nach einem echten Handwerks-Seifenstift-Testarbeit erstellt. Dieses Werkzeug ist nicht als Ersatz für die massive manuelle menschliche Analyse gedacht. Bitte sehen Sie den WSFUZZER als ein Werkzeug, um die Analyse von kompetenten und sachkundigen Fachkräften zu erweitern. Web-Services sind nicht trivial in der Natur, also ist das Know-how in diesem Bereich ein Muss für ordnungsgemäße Pen-Tests. GOALS: · Um einige der intensiveren Seife-Fuzzing-Prozesse zu automatisieren, die ziemlich zeitaufwändig sein würden, wenn man manuell ausgeführt wird · Um die Vektorgeneration in einem dynamische und intelligente Mode basierend auf dem spezifischen Ziel · Bereitstellen seiner Funktionalität / resultierenden Daten auf andere Werkzeuge in einer nahtlosen Mode ·, um die wiederholbare Verwendung bekannter erfolgreicher Angriffsvektoren zu erleichtern, insbesondere gegen bestimmte Ziele · Teil einer soliden Web-Anwendungsstiftprüfung zu sein Toolkit · So einfach zu bedienen innerhalb des Verständnisspektrums und der Arbeiten mit, SOAP ServicesIt ist nicht das Ziel des WSFuzzers, die menschliche Analyse zu ersetzen. AAMOF WSFUZZER leistet derzeit keine Analyse der gesammelten Ergebnisse. Der Analysigel der Analyse wird dem Analyst / Ingenieur überlassen, der einen bestimmten Stifttest ausführt. Dieses Werkzeug ist letztendlich dazu gedacht, einen Stift-Tester-Job in Bezug auf SOAP-Dienste zu erweitern. Hier sind einige wichtige Funktionen von "WSFuzzer": · Pen testet eine HTTP-Seife Web-Service basierend auf einem gültigen WSDL, bekannter guter XML-Nutzlast oder einem gültigen Endpunkt- und Namensraum. · Es kann versuchen, WSDL-WSDL für ein bestimmtes Ziel intelligent zu erkennen. · Enthält einen einfachen TCP-Port-Scanner. · WSFuzzer hat die Fähigkeit zu Fuzz-Methoden mit mehrere Parameter. Es gibt zwei Arten von Angriffs- / Fuzzing: "Individuell" und "Simultanens". Jeder Parameter wird entweder als eindeutiger Einheit (einzelner Modus) behandelt und kann entweder angegriffen oder allein gelassen werden, oder mehrere Parameter werden gleichzeitig angegriffen (daher der Name - Simultan-Modus) mit einem bestimmten Datensatz. · Die Fuzz-Generation (Angriffszeichenfolgen) ) besteht aus einer Kombination aus einer Dictionary-Datei, einigen optionalen dynamischen großen Injektionsmustern und einigen optionalen Methodenspezifischen Angriffen, einschließlich der automatisierten XXE- und WSSE-Angriffsgenerierung. · Das Tool bietet auch die Möglichkeit, einige IDS-Ausweichungstechniken zu verwenden, die eine leistungsstarke Sicherheit sorgt für eine leistungsstarke Sicherheit Infrastruktur-Testerfahrung (IDS / IPS). · Eine Zeitmessung jeder Rundreise zwischen Anforderung und Reaktion ist nun zur potenziell Unterstützung bei der Ertragsanalyse bereitgestellt. · Für ein bestimmtes Programm ausführen werden die generierten Angriffsvektoren in eine XML-Datei gespeichert. Die XML-Datei heißt XXX und befindet sich in demselben Verzeichnis, in dem sich die Ergebnis-HTML-Datei gespeichert befindet. Eine zuvor generierte XML-Datei mit Angriffsvektoren kann anstelle des Wörterbuch- / automatisierten Combo verwendet werden. Dies ist der Wiederholgenauigkeit halber, wenn immer wieder die gleichen Vektoren verwendet werden müssen. Was neu in dieser Version neu ist: · Einigen der zufälligen Angriffs-Vektor-Generationsprozesse abtönt, um die PROG-Laufzeitleistung zu verbessern. · Hinzugefügte Unterstützung für Dokument- / Literal-SOAP-Payloads über die Option von --xml eingereicht werden. · Code hinzugefügt, um auf die Hostverfügbarkeit frühestmöglich möglich zu prüfen. Prog stirbt, wenn der Host nicht verfügbar ist. · Code hinzugefügt, um automatisch zu speichern (in die lokale Datei) alle generierten Angriffsvektoren für einen bestimmten Lauf. Die Datei befindet sich in einem einfachen XML-Format. · Ein Feature hinzugefügt, um gespeicherte Angriffsvektoren aus der XML-Datei im Gegensatz zur dynamischen Erzeugung von Angriffsvektoren zu verwenden. Diese Option wird mit dem Switch "-Anstacks =" aufgerufen. · Weitere Optionen in das Config-Dateimodell hinzugefügt, so dass, wenn ein verwendet wird, wenn weniger interaktive Aspekte verwendet werden, ausgeübt werden.

WSFuzer Zugehörige Software