关于WSSAT

WSSAT是功能工具一款功能强大的Web服务安全评估与审计工具  ，该工具完全开源 ，服务并给广大研究人员提供了一个动态环境，安全即只需要编辑其配置文件即可添加、评估更新或删除漏洞。审计该工具接受WSDL地址列表作为输入文件 ，功能工具并且针对每个服务都会对其中潜在的服务安全漏洞执行静态和动态测试。值得一提的源码库安全是，该工具还会给我们指定好信息披露控制措施 。评估在该工具的审计帮助下，所有的功能工具网络服务不仅都可以同时进行分析，而且组织还可以看到网络系统整体的服务安全评估。

工具特性

WSSAT的高防服务器安全目标是允许各组织实现下列目标
：

1、立即执行Web服务安全分析；

2 、评估通过报告查看Web服务总体安全评估；

3 、审计强化网络服务安全；

功能介绍

WSSAT的主要功能如下：

动态测试

1 、不安全的通信-未使用SSL；

2、未经身份验证的服务方法；

3、服务器租用基于错误的SQL注入；

4、跨站脚本漏洞；

5、XML炸弹；

6、外部实体攻击-XXE；

7、XPATH注入；

8、HTTP OPTIONS方法；

9
、跨站点跟踪（XST）；

10、X-XSS-Protection Header缺失；

11 、SOAP故障消息Verbose输出；

静态分析

1、源码下载弱XML模式；

2、弱WS-SecurityPolicy；

信息泄漏

1 、服务器或技术信息泄漏；

WSSAT的主要模块

1、解析器；

2 、漏洞加载器；

3、分析器/攻击器；

4、日志记录器；

5 
、报告生成器；

工具要求

Windows 7或更新版本；

.Net Framework 4.7

工具安装

由于该工具基于C#开发 ，因此我们首先需要安装并配置好最新版本的香港云服务器VisualStudio。

接下来 ，广大研究人员可以使用下列命令将该项目源码克隆至本地
：

接下来 ，切换到WSSAT\WSSAT\bin\Debug目录，并提供读写权限以生成报告和日志 。

在Visual Studio中加载项目代码，并构建项目 ，即可生成WSSAT.exe 。

工具使用样例

工具主界面

扫描SOAP Web服务

样例WSDL文件：

文件选择界面 ：

自定义SOAP标签条目界面：

扫描REST API

报告生成&日志记录

自定义请求Header

许可证协议

本项目的开发与发布遵循LGPL-3.0开源许可证协议 。免费模板

项目地址

WSSAT：【GitHub传送门】

参考资料

https://www.visualstudio.com/downloads/

https://www.microsoft.com/en-us/download/details.aspx?id=55170

本文作者 ：Alpha_h4ck， 转载请注明来自FreeBuf.COM