Cet article a pour but de présenter une méthodologie permettant de mener à bien un test d'intrusion sur les Web Services. Nous parlerons plus précisément des services Web faisant appel aux technologies WSDL et SOAP.
1. Le point d'entrée
Le premier point consiste à découvrir l'interface publique d'accès au Web Service, c'est-à-dire le fichier WSDL. Ce dernier fournit les méthodes que nous sommes en mesure d'utiliser afin de communiquer avec le service Web.
Un document WSDL utilise une grammaire XML pour décrire les Web Services. Il est constitué d'une balise racine nommée definitions, principalement composée de cinq balises majeures : types, message, portType, binding et service. D'autres éléments optionnels sont souvent susceptibles d'être présents ([WSDL]).
Figure 1 : Structure d'un fichier WSDL
Examinons ces balises les plus classiques :
- definitions : élément racine de tous documents WSDL, il définit le nom du service Web, déclare les namespaces utilisés dans le reste du fichier et contient tous les éléments du service.
- types : il décrit tous les types de données utilisés entre le client et le serveur. WSDL n'est pas lié exclusivement à...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première