如何对WCF服务执行漏洞评估

Question

有人知道如何对Microsoft WCF服务进行渗透测试/漏洞评估吗?我至今还找不到工具，欢迎任何可用的工具和指南。

Answer 1

除了基本的SOAP之外，没有太多用于WCF服务的笔式测试的高级工具。由于WCF/SOAP实际上只是您所编写的底层API的前端，所以您确实需要一个工具来评估API中的漏洞，这通常是一种自定义性质。

有些工具，比如FxCop，有一个非常简单的安全分析基线，但是您不能完全依赖它。

Brian在OWASP站点上有一个很好的介绍性介绍，介绍了如何测试WCF服务：https://www.owasp.org/images/6/6c/Attacking_WCF_网站_服务-布赖恩_Holyfield.pdf。他列出了几个工具，但它们不是WCF/SOAP特有的。