OWASP WebGoat:WSDL Scanning

From aldeid
Jump to navigation Jump to search

WSDL Scanning

Description

En analysant les opérations disponibles dans un WebService, si une application n'effectue pas les vérifications nécessaires, il est possible d'élever ses privilèges. C'est ce que propose cet exercice.

Exercice

Dans cet exercice, les informations auxquelles nous sommes initialement autorisés à accéder sont les suivantes :

La consultation du WebService (http://127.0.0.1/WebGoat/services/WSDLScanning?WSDL) nous permet d'établir les relations suivantes :

Champ form Opération WS
First Name getFirstName
Last Name getLastName
Login Count getLoginCount

Néanmoins, comme on peut s'en apercevoir, une opération du WebService n'est pas exploitée : getCreditCard.

Pour ajouter le champ "Credit Card" dans les résultats, utiliser WebScarab afin d'intercepter la requête au moment de la soumission du formulaire, puis insérer un nouveau champ comme suit :

En cliquant sur "Accept changes", vous obtenez alors le résultat suivant :

Retrieved from "https://www.aldeid.com/w/index.php?title=OWASP_WebGoat:WSDL_Scanning&oldid=35545"