API安全系列——SoapUI和Burp的联动使用

soapUI的下载: https://www.soapui.org/

SoapUI的优势主要是安全扫描的功能,burp用于手工测试,所以他们是可以很好的联动的。

第一步,代理设置。

burp充当代理服务器,把请求发给soapUI。所以burp是soapUI和目标服务器中间转发。

设置burp的代理

soapUI的代理设置

我们还可以使用SOAPUI的pro版本——ReadAPI进行测试。

创建项目:

随便找一个文件来测试:

看看单个请求:

可以看到,这是在测试XSS




运行中,完毕之后可以在View Summary Report中查看报告。

可以在Transaction log中看到具体一次请求的所有参数。

报告内容

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Google photo

您正在使用您的 Google 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s