webapi渗透测试工具,web渗透测试报告

导航：

• 1、WebAPI 和 webservice的区别
• 2、关于WebApi进行测试时出现"没有 OWIN 身份验证管理器与此请求相关联。"
• 3、如何使用web api测试工具siege和ab的post方法来发送json数据 / 蓝讯
• 4、web测试,怎么查看新增的接口和字段
• 5、应用安全测试应该用哪个软件呢?
• 6、WebService和Webapi的区别

WebAPI 和 webservice的区别

webapi用的是http协议，webservice用的是soap协议

webapi无状态，相对webservice更轻量级。webapi支持如get,post等http操作

http soap关系

http:是一个客户端和服务器端请求和应答的标准（TCP）。http协议其目的是为了提供一种发布和接收htttp页面的方法

一http协议的客户端与服务器的交互：由HTTP客户端发起一个请求，建立一个到服务器指定端口（默认是80端口）的TCP连接。HTTP服务器则在那个端口监听客户端发送过来的请求。一旦收到请求，服务器（向客户端）发回一个状态行，比如”HTTP/1.1 200 OK”，和（响应的）消息，消息的消息体可能是请求的文件、错误消息、或者其它一些信息。

soap 协议：它描述了一种在分散或分布式的环境中如何交换信息的轻量级协议。soap在http协议的基础上，一个基于XML的协议。

不同：都是底层的通信协议，请求包的格式不同而已，soap包是XML格式,http纯文本格式。

关系：SOAP是个通信协议， SOAP在HTTP协议的基础上，把编写成XML的REQUEST参数, 放在HTTP BODY上提交个WEB SERVICE服务器(SERVLET，ASP什么的) 处理完成后，结果也写成XML作为RESPONSE送回用户端， 为了使用户端和WEB SERVICE可以相互对应，可以使用WSDL作为这种通信方式的描述文件，利用WSDL工具可以自动生成WS和用户端的框架文件，SOAP具备把复杂对象序列化捆绑到XML里去的能力。

WCF和WEB API我该选择哪个？

1、当你想创建一个支持消息、消息队列、双工通信的服务时，你应该选择WCF

2、当你想创建一个服务，可以用更快速的传输通道时，像TCP、Named Pipes或者甚至是UDP（在WCF4.5中）,在其他传输通道不可用的时候也可以支持HTTP。

3、当你想创建一个基于HTTP的面向资源的服务并且可以使用HTTP的全部特征时（比如URIs、request/response头，缓存，版本控制，多种内容格式），你应该选择Web API

4、当你想让你的服务用于浏览器、手机、iPhone和平板电脑时，你应该选择Web API

SOAP：Simple Object Access Protocol

简单对象访问协议（SOAP）是一种轻量的、简单的、基于 XML 的协议，它被设计成在 WEB 上交换结构化的和固化的信息。 SOAP 可以和现存的许多因特网协议和格式结合使用，包括超文本传输协议（ HTTP），简单邮件传输协议（SMTP），多用途网际邮件扩充协议（MIME）。它还支持从消息系统到远程过程调用（RPC）等大量的应用程序。

HTTP协议： 应用层

TCP协议 ： 传输层

HTTP协议详解之响应篇

在接收和解释请求消息后，服务器返回一个HTTP响应消息。

HTTP响应也是由三个部分组成，分别是：状态行、消息报头、响应正文

1、状态行格式如下：

HTTP-Version Status-Code Reason-Phrase CRLF

其中，HTTP-Version表示服务器HTTP协议的版本；Status-Code表示服务器发回的响应状态代码；Reason-Phrase表示状态代码的文本描述。

状态代码有三位数字组成，第一个数字定义了响应的类别，且有五种可能取值：

1xx：指示信息–表示请求已接收，继续处理

2xx：成功–表示请求已被成功接收、理解、接受

3xx：重定向–要完成请求必须进行更进一步的操作

4xx：客户端错误–请求有语法错误或请求无法实现

5xx：服务器端错误–服务器未能实现合法的请求

常见状态代码、状态描述、说明：

200 OK //客户端请求成功

400 Bad Request //客户端请求有语法错误，不能被服务器所理解

401 Unauthorized //请求未经授权，这个状态代码必须和WWW-Authenticate报头域一起使用

403 Forbidden //服务器收到请求，但是拒绝提供服务

404 Not Found //请求资源不存在，eg：输入了错误的URL

500 Internal Server Error //服务器发生不可预期的错误

503 Server Unavailable //服务器当前不能处理客户端的请求，一段时间后可能恢复正常

eg：HTTP/1.1 200 OK （CRLF）

2、响应报头后述

3、响应正文就是服务器返回的资源的内容

关于WebApi进行测试时出现"没有 OWIN 身份验证管理器与此请求相关联。"

500是服务器内部错误，是不是服务端要检测授权用户的访问呢，请确认是否授权验证信息传入正确。

如何使用web api测试工具siege和ab的post方法来发送json数据 / 蓝讯

webapi 支持post get 只需要方法名称是post 和get 就可以了 function nTabs(thisObj,Num){ if(thisObj.className == "active")return; var tabObj = thisObj.parentNode.id; var tabList = document.getElementById(tabObj).getElementsByTagName("li"); for(i=0; i tabList.length; i++) {

web测试,怎么查看新增的接口和字段

1：配置 接口注释。

（1）配置生成xml的路径。我们在项目上面点右键→属性→生成标签页配置xml的路径。

（2）在xml的读取路径：在Areas\HelpPage\App_Start\HelpPageConfig.cs里面配置xml的读取路径。

config.SetDocumentationProvider(new XmlDocumentationProvider(HttpContext.Current.Server.MapPath("~/App_Data/OpenAPI.xml")));

到此运行，Api 接口注释已经可以展示。

2：配置接口调试程序。

（1）右键项目，找到NuGet管理，查找 “WebApiTestClient”并安装。

（2）修改生成的 Areas\HelpPage\Views\Help\Api.cshtml文件。

在结尾处增加一段代码：

@Html.DisplayForModel("TestClientDialogs")@section Scripts {linktype ="text/css" href="~/Areas/HelpPage/HelpPage.css" rel="stylesheet" /@Html.DisplayForModel("TestClientReferences")}

到此，注释和测试工具均已配置完成。运行测试下效果。

OK!

应用安全测试应该用哪个软件呢?

用MicroFocuswebapi渗透测试工具的Fortify做应用安全测试就挺好webapi渗透测试工具的呀，这款软件操作比较方便，而且可以准确地检测出很多安全问题，挺靠谱webapi渗透测试工具的。

WebService和Webapi的区别

Web Service特征

1、它是基于SOAP协议的webapi渗透测试工具，数据格式是XML

2、只支持HTTP协议

3、它不是开源的，但可以被任意一个了解XML的人使用

4、它只能部署在IIS上

Web API特征（红色标记与WebService区别）

1、这是一个简单的构建HTTP服务的新框架

2、在.net平台上Web API 是一个开源的、理想的、构建REST-ful 服务的技术

3、不像WCF REST Service.它可以使用HTTP的全部特点（比如URIs、request/response头，缓存，版本控制，多种内容格式）

4、它也支持MVC的特征，像路由、控制器、action、filter、模型绑定、控制反转（IOC）或依赖注入（DI），单元测试。这些可以使程序更简单、更健壮

5、它可以部署在应用程序和IIS上

6、这是一个轻量级的框架，并且对限制带宽的设备，比如智能手机等支持的很好

7、Response可以被Web API的MediaTypeFormatter转换成Json、XML 或者任何webapi渗透测试工具你想转换的格式。

8、Web API非常适合构建移动客户端服务

以下情况可以考虑用Web API

1、 需要Web Service但是不需要SOAP

2、 需要在已有的WCF服务基础上建立non-soap-based http服务

3、 只想发布一些简单的Http服务，不想使用相对复杂的WCF配置

4、 发布的服务可能会被带宽受限的设备访问

5、希望使用开源框架，关键时候可以自己调试或者自定义一下框架

6、如果服务需要在http协议上，并且希望利用http协议的各种功能

7、如果服务需要被各种客户端(特别是移动客户端)调用

小结（仅供参考）

总体来说，两者都是服务，只是表现形式存在一些差异

webapi多用于基于http请求的服务应用,比如说移动服务端或者需要提供第三方API 服务的场景下

webservice也可以应用于webapi所在的场景，但是如果是我的选择，我一般是做为内部服务的使用，好比如果一个系统我会用wcf/webservice作为内部子系统间的服务通信，而webapi用于外部服务的请求~