OWASP WebGoat:Create a SOAP Request

From aldeid
Jump to navigation Jump to search

Create a SOAP Request

Description

Cet exercice a pour objectif de vous présenter les WebServices en langage SOAP : WSDL (Web Services Description Language).

Stage 1

A ce stade, il est demandé combien d'opérations contient le WebService présent à l'adresse suivante : http://127.0.0.1/WebGoat/services/SoapRequest

Pour ce faire, ajouter "?WSDL" à la fin de l'adresse précédemment testée. Vous devez obtenir l'affichage suivant :

Ce WebService est composé entre autres de paramètres et d'opérations. Les opérations sont au nombre de 4 :

Répondre "4" à la question pour passer au stage 2.

Stage 2

Il est demandé de quel type est le paramètre "getFirstNameRequest". Il s'agit d'un entier (int).

Stage 3

Note
Pour pouvoir résoudre cet exercice avec WebScarab, il est nécessaire de posséder la version "self-contained" (webscarab-selfcontained-20070504-1631.jar) car la version standard ne propose pas nativement l'analyse des WebServices.
Warning
Afin que l'authentification soit demandée dans WebScarab au moment de la consultation du WebService, il est nécessaire d'activer la case à cocher "Ask when required" dans le menu Tools > Credentials.
  • Se rendre à l'onglet "WebServices" dans WebScarab puis sélectionner le WebService "SoapRequest" dans la liste déroulante "WSDL"
  • Sélectionner l'opération "getFirstName" dans la liste déroulante "Operation"
  • Renseigner la valeur de "id" : 101
  • Cliquer sur "Execute"
  • Saisir "guest" dans les champs "Username" et "Password"
  • Relever la valeur du prénom renvoyée par le WebService : Joe

Réitérer les mêmes opérations, mais en sélectionnant "GetLastName" dans la liste déroulante "Operation". Le nom de famille renvoyé par le WebService est Snow.

L'exercice est terminé.

Retrieved from "https://www.aldeid.com/w/index.php?title=OWASP_WebGoat:Create_a_SOAP_Request&oldid=35484"