漏洞发现-API接口服务之漏洞探针类型利用修复

#端口服务类安全测试
根据前期信息收集针对目标端口服务类探针后进行的安全测试，主要涉及攻击方法：口令安全，WEB类漏洞，版本漏洞等，其中产生的危害可大可小。属于端口服务/第三方服务类安全测试面。一般在已知应用无思路的情况下选用的安全测试方案。

API接口-WebService RESTful API
https://xz.aliyun.com/t/2412
根据应用自身的功能方向决定，安全测试目标需有API接口调用才能进行此类测试，主要涉及的安全问题：自身安全，配合WEB，业务逻辑等，其中产生的危害可大可小，属于应用API接口网络服务测试面，一般也是在存在接口调用的情况下的测试方案。

WSDL（网络服务描述语言，Web Services Description Language）是一门基于 XML 的语言，用于描述 Web Services 以及如何对它们进行访问。

漏洞关键字：
配合shodan，fofa,zoomeye搜索也不错哦~
inurl:jws?wsdl
inurl:asmx?wsdl
inurl:aspx?wsdl
inurl:ascx?wsdl
inurl:ashx?wsdl
inurl:dll?wsdl
inurl:exe?wsdl
inurl:php?wsdl
inurl:pl?wsdl
inurl:?wsdl
filetype:wsdl wsdl

http://testaspnet.vulnweb.com/acuservice/service.asmx?WSDL



演示案例：

• 端口服务类-Tomcat弱口令安全问题
• 端口服务类-Glassfish任意文件读取
• 其他补充类-基于端口WEB站点又测试
• 其他补充类-基于域名WEB站点又测试
• 其他补充类-基于IP配合端口信息再收集
• 口令安全脚本工具简要使用-Snetcracker
• API接口类-网络服务类探针利用测试-AWVS

涉及资源：
https://xz.aliyun.com/t/2412
https://github.com/SmartBear/soapui/releases
https://github.com/shack2/SNETCracker/releases/
https://www.cnblogs.com/xyongsec/p/12370488.html