使用Wsdler測試WebService接口:
在Burp里也有一個通過WSDL解析接口定義,手工測試WebService的插件:Wsdler
如果你安裝了此插件,則在Burp的 Proxy >> History 中,可以直接使用【Parse WSDL】功能。
確認使用【Parse WSDL】解析功能后,此插件自動解析出服務的Operation、Binding、Endpoint。當選中某個Operation之后,可以查看SOAP消息文本。同時,可以發送到Burp的其他組件進行進一步操作。
比如,我們將上圖中的消息發送到Intruder,使用字符塊(Character blocks)的對參數進行邊界測試。
發送Intruder后的截圖如下:
使用的payload為字符串1,從1到50,即1,11,111,1111……直到50個1,來測試參數的邊界長度
生成payload並執行后的結果如下圖所示:
