Pentest d'un Web Service

Magazine
Marque
MISC
Numéro
43
Mois de parution
mai 2009
Auteurs
Par
Ayad Karim
Spécialité(s)
Pentest
Sécurité réseau
Tag(s)
web service
SOAP
WSDL
moteur de recherche
vulnérabilités


Résumé

Cet article a pour but de présenter une méthodologie permettant de mener à bien un test d'intrusion sur les Web Services. Nous parlerons plus précisément des services Web faisant appel aux technologies WSDL et SOAP.


1. Le point d'entrée

Le premier point consiste à découvrir l'interface publique d'accès au Web Service, c'est-à-dire le fichier WSDL. Ce dernier fournit les méthodes que nous sommes en mesure d'utiliser afin de communiquer avec le service Web.

Un document WSDL utilise une grammaire XML pour décrire les Web Services. Il est constitué d'une balise racine nommée definitions, principalement composée de cinq balises majeures : types, message, portType, binding et service. D'autres éléments optionnels sont souvent susceptibles d'être présents ([WSDL]).<…

La suite est réservée aux abonnés. Il vous reste 97% à découvrir.
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Envie de lire la suite ? Rejoignez Connect
Je m'abonne maintenant


Article rédigé par

Ayad Karim

Ayad Karim
3 articles

Par le(s) même(s) auteur(s)

Plus d'article de cet auteur

Mac OS X et les injections de codes

Magazine
Marque
MISC
Numéro
47
Mois de parution
janvier 2010
Auteurs
Par
Ayad Karim
Spécialité(s)
Sécurité système
Sécurité du code
Résumé

L'injection de codes dans un autre processus n'est pas une technique novatrice en soi. Elle est aussi bien utilisée par des applications dites de sécurité que par des programmes malveillants. Ces derniers en sont particulièrement friands lorsqu'il s'agit de détourner des protections logicielles telles que les pare-feu applicatifs. Les techniques d'injection pour le système d'exploitation Windows sont amplement documentées sur Internet, néanmoins il n'en est pas de même pour le système d'Apple. Ainsi, pour combler le manque de documentation sur le sujet, cet article décrit certaines méthodes d'injections de codes au sein des processus Mac OS X Snow Leopard en mode 64 bits.

Lire l'article

Les listes de lecture

Sécurité Windows : Active Directory

11 article(s) - ajoutée le 01/07/2020
Sécurité réseau
Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.

Sécurité des mobiles

8 article(s) - ajoutée le 13/10/2020
Mobilité Sécurité système
Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.

Cryptographie appliquée

10 article(s) - ajoutée le 13/10/2020
Crypto
Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.
Plus de listes de lecture