在第一部分的文章中，我們討論了如何在一個WSDL文件中以關(guān)閉操作列表的方式來生成SOAP請求，以及怎樣將這套流程通過Ruby及Burp套件自動加以執(zhí)行。此外，我們還介紹了WSDL文件內(nèi)容的解析方式。在本文中，我們將要對SOAP服務(wù)中的一系列安全漏洞進行測試及利用。并不是所有的攻擊行為都針對SOAP，我們必須對這一情況具備清醒的認識。

這一行的新手往往有種先入為主的觀念，認為威脅網(wǎng)頁服務(wù)安全的各類攻擊總帶有一些神秘色彩并且超難阻止。但實際情況是，網(wǎng)頁服務(wù)遭受的許多侵襲都源自與瀏覽器應(yīng)用程序安全缺陷相類似的同一種漏洞。

舉例來說，大家會發(fā)現(xiàn)各類認證標準損壞及會話管理缺陷都包含在我們下面這份漏洞列表中。看起來眼熟吧？眼熟就對了，因為這正是我們原先曾向大家介紹過的OWASP十大漏洞排名，而事實上這些問題對網(wǎng)頁應(yīng)用程序及網(wǎng)頁服務(wù)都將構(gòu)成同等威脅。

我們在本文中打算講解并利用的漏洞類型分別為：

1. SOAP 注入

2. SQL 注入

3. 默認內(nèi)容

4. 破損的認證及會話管理

SOAP 注入

雖然網(wǎng)頁服務(wù)方面的許多安全缺陷都有相似之處或者幾乎同樣為大眾所熟知，而且這些漏洞不僅被編纂成文供人們參考，甚至要將其真正利用起來也不需要什么高超的技術(shù)。但SOAP注入有所不同，它所指向的弱點不僅難于抵御，對攻擊者的水平也有相當?shù)囊蟆?/p>

那么這種攻擊到底是如何發(fā)生的？服務(wù)器端的XML解析引擎從客戶端接收輸入信息，這里指的客戶端可以是瀏覽器、來自網(wǎng)頁應(yīng)用程序的數(shù)據(jù)、一部移動設(shè)備或者是其它類型的來源。如果不對輸入的信息進行正確驗證，接收的結(jié)果就很可能出現(xiàn)錯誤，進而為攻擊行為提供了便利。

基于上述情況，我們就從攻擊者的立場出發(fā)，在不具備高超技術(shù)或是對SOAP請求服務(wù)器端處理方式的深入了解的前提下，一步步接近SOAP注入攻擊的真實流程。這要求我們首先準備一些極度冗長的錯誤信息（聽起來可能有點像安全配置失誤）。

請遵循下列要求：

請求顯示正常。我們在此發(fā)出自己的姓名及密碼，如果請求接下來也同樣發(fā)送正常，則解析工作同樣會順利進行。在此，我們能否被授予訪問權(quán)限取決于初始時提交何種內(nèi)容的請求。

現(xiàn)在讓我們生成一個同樣的請求，但這一次省略掉

<lname></lname>

標簽。

根據(jù)下圖顯示的服務(wù)器響應(yīng)結(jié)果可以看出，我們應(yīng)該是已經(jīng)取得了某些突破：

這個錯誤警告實際上向我們間接交代出了代碼！我們看到的這條故障提示的實際表意是如果缺少lname變量，那么代碼應(yīng)該利用登錄ID參數(shù)作為替代。現(xiàn)在的事態(tài)很有趣。在這種情況下，我們要做的是刻意省略lname標簽以觸發(fā)故障提示（"II"），進而提取登錄ID標簽。

這是我們創(chuàng)建的新請求：

好了，現(xiàn)在出現(xiàn)的提示信息如下：

這意味著我們需要利用已經(jīng)收集到的授權(quán)證書或信息啟動執(zhí)行操作

(提交

<loginid>1</loginid>

標簽)。

此類攻擊方式相對比較簡單，利用到的是編寫在背景中的、包含錯誤信息的簡陋解析引擎。如此一來，我們提交的請求就會被作為來自管理員級別賬戶的操作被加以接收。#p#

SQL注入

在這部分內(nèi)容中，我們將用到在第一部分文章中創(chuàng)建的一些代碼。啟動附有Ruby腳本的Burp，該腳本名稱為attack_soap.rb。

讓我們向WSDL文件發(fā)送一條請求，在Burp處實施攔截，生成請求然后將其進行模糊處理及分析。打完收功。

正如第一部分文章中提到的，上述步驟會自動生成一條要求關(guān)閉WSDL文件中操作及參數(shù)的SOAP請求。在attack_soap.rb腳本中，我們已經(jīng)編寫了特殊的SOAP請求并傳遞至Burp代理。一旦該請求生成并被正確攔截，我們就能將在攻擊中讓其發(fā)揮作用。

通過對侵入活動的定位，我們接下來需要編寫打算插入的模糊字符串。

請注意，我們對101在插入點中進行了滲透，因此我們的模糊字符串將取代整數(shù)"101"的位置。

現(xiàn)在要做的是選擇有效荷載。Fuzzdb是模糊字符串的上佳來源，我們可以從以下網(wǎng)絡(luò)中找到任何能在本教程的Burp有效荷載創(chuàng)建方面派上用場的內(nèi)容：http://code.google.com/p/fuzzdb/。

選擇預(yù)設(shè)的下拉列表；在下拉列表中添加選擇"fuzzing-full"荷載。

開始攻擊，如下圖所示：

現(xiàn)在我們需要審查來自應(yīng)用程序的響應(yīng)信息。請注意，雖然多數(shù)的返回響應(yīng)都是總長度為634的單字節(jié)內(nèi)容，但字符串"1 or 1=1--"返回的卻是總長度為1662的單字節(jié)內(nèi)容。

這背后可能有什么玄機，讓我們拭目以待。

應(yīng)用程序已經(jīng)通過回饋信用卡列表的形式響應(yīng)SQL語句！到此我們利用SOAP服務(wù)中的SQL注入漏洞計劃獲得了圓滿成功，掌聲鼓勵。#p#

默認內(nèi)容尋獲

分析此類漏洞的重點在于提醒各位讀者，正如傳統(tǒng)網(wǎng)頁應(yīng)用程序的默認內(nèi)容暴露會引發(fā)安全威脅，服務(wù)器托管型網(wǎng)頁服務(wù)也具有同樣的特性。

作為攻擊者，大家應(yīng)該盡最大努力挖掘那些網(wǎng)頁開發(fā)人員或管理員忘記刪除的任何隱藏或看似無用的內(nèi)容。一般來說我們總能發(fā)現(xiàn)些沒有經(jīng)過正確測試或是包含關(guān)鍵性漏洞的代碼。此外，這類文件還可能以某種文本文檔或Excel表格形式存儲起來的驗證信息或其它敏感資源。

通常情況下，我們"至少"應(yīng)該運行下列Google查詢內(nèi)容（這些內(nèi)容并不全面，大家還需要自己加以補充）：

上述查詢所返回的全部文件都與我們提供的站點名稱相匹配。在大家使用SOAP時，強烈建議各位將添加"filetype:wsdl"作為尋獲站點中額外wsdl文件的首選方案。

到這一步還不算完。SVNDigger會列出一份龐大的目錄，內(nèi)容涵蓋各類可以用來尋獲默認內(nèi)容的目錄及文件名稱。大家可以在http://www.mavitunasecurity.com/blog/svn-digger-better-lists-for-forced-browsing/處下載這份關(guān)鍵詞檢索表，不過我們通過intruder加載模糊列表的形式已經(jīng)達到了與使用SVNDigger檢索表相同的目的。

大家同樣可以選擇使用OWASP推薦的"DirBuster"工具，并以此種方式加載檢索表。

需要重申的是，暴露在外的默認內(nèi)容可能會導(dǎo)致由敏感性數(shù)據(jù)外泄引發(fā)的各類嚴重危害。大家在實踐這類攻擊方式時務(wù)必謹慎再謹慎，否則可能會帶來災(zāi)難性的后果。

損壞的驗證及會話管理缺陷

這種類型的漏洞對于網(wǎng)頁服務(wù)的影響與對傳統(tǒng)網(wǎng)頁應(yīng)用程序的影響是相同的。事實上，隨著移動設(shè)備的迅猛崛起，網(wǎng)頁服務(wù)也開始對其提供支持。而且我們身邊遭遇此類漏洞威脅的事例也在不斷增加。#p#

每條請求中用戶名及密碼的提交

以SOAP請求為例，該請求需要得到上級WSDL的基本授權(quán)。這種存在于應(yīng)用程序及用戶瀏覽器之間的授權(quán)標準具備如下交互過程：

1. 用戶提交驗證信息

2. 應(yīng)用程序驗證該信息，并發(fā)送一個cookie

3. 用戶瀏覽器存儲來自應(yīng)用程序的這個cookie值

4. 根據(jù)來自用戶瀏覽器的后續(xù)請求，該cookie會被再次發(fā)往應(yīng)用程序端

有了這種基本的流程概念，即使那些cookie是竊取來的，在其過期之前應(yīng)該還是可以奏效一段時間。但如果想要獲取更多信息以查看或修改密碼，攻擊者只能憑借自己的運氣。

然而當下太多的移動應(yīng)用程序利用基本信息驗證與網(wǎng)頁服務(wù)進行交互，因此我們常常會發(fā)現(xiàn)有些移動應(yīng)用會在每個發(fā)往網(wǎng)頁服務(wù)的請求中都夾帶驗證信息！

如果用戶的手機處于開機狀態(tài)并連入允許公開訪問的Wi-Fi網(wǎng)絡(luò)，而網(wǎng)頁服務(wù)使用的又不是HTTPS協(xié)議，這就意味著整個傳輸過程利用的負載媒介相當于純文本。讓我們探究一下破解基本驗證信息到底有多容易。

將基本驗證信息字符串發(fā)送至Burp解碼器

 

正如大家所見，用戶名為guest，而密碼也為guest。在這里我再次強調(diào)，移動應(yīng)用程序中時刻充斥著這類簡單漏洞。

缺乏賬號鎖定機制

輸入一定次數(shù)的錯誤口令后，賬號仍未轉(zhuǎn)為鎖定狀態(tài)，這是當前網(wǎng)頁服務(wù)中另一個很常見的缺陷。也就是說攻擊者完全可以通過暴力破解的方式獲得用戶名與密碼的組合。此種不必要的失誤很有可能給服務(wù)賬號帶來極大的安全威脅，值得我們認真對待。

密碼復(fù)雜性過低

當大家在將上述安全隱患（例如缺乏賬號鎖定機制）納入解決日程時，也別忘了同時提高密碼復(fù)雜性。一旦出于好記的目的而將密碼設(shè)置得過分簡單，這就構(gòu)成了新的安全缺陷，未經(jīng)授權(quán)的惡意攻擊者也很快會趁虛而入。

總結(jié)

正如大家所看到的，已經(jīng)存在且盡人皆知的網(wǎng)頁應(yīng)用程序安全漏洞同樣肆虐于網(wǎng)頁服務(wù)領(lǐng)域。導(dǎo)致攻擊或滲透出現(xiàn)的前提在細節(jié)上可能各有不同，但本質(zhì)在根源上是相通的，即安全設(shè)計上的缺陷加之實際編碼中的疏漏。

希望本文能為用于識別及應(yīng)對網(wǎng)頁服務(wù)、尤其是SOAP網(wǎng)頁服務(wù)領(lǐng)域安全弱點的各類技術(shù)提供一些啟示。

原文鏈接：http://resources.infosecinstitute.com/soap-attack-2/