<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">Hi Biswa,<div><br></div><div>I donít have access to AppScan anymore so cannot give you step-by-step details.</div><div><br></div><div>In basic how AppScan worked was every time you configure a application and want to scan, you give it some basic steps and traverse the application as a normal user.</div><div><br></div><div>Internally what appscan does is it spawns a proxy and let these requests pass though it, while this is happening it records the user clicks.</div><div><br></div><div>Once the traverse is complete it uses this to perform injection on the boxes you traversed or the controls on the form.</div><div><br></div><div>We tried to exploit this working by spawning the traverse window, however instead of me clicking any links (which is not really possible in a WS testing environment) i used SoapUI to pass the traffic through this temporary proxy.</div><div><br></div><div>AppScan was happy to see this traffic and learn it and later it used this to perform the scan.</div><div><br></div><div>I am not sure if anything has changed to the scanner from the last time i used (1 year back). if Ory Segal is part of this mailing list he can give you some more tips.</div><div><br></div><div>Never knew anyone needed this, so never documented it.  </div><div><br></div><div>Hope this helps.</div><div><div apple-content-edited="true">
<div>____________________________</div><div>Thanks,</div><div>Gautam</div>

</div>
<br><div><div>On 21 Nov 2013, at 8:08 pm, Biswa Bhusan <<a href="mailto:biswabhusan.biswal@gmail.com">biswabhusan.biswal@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div dir="ltr"><div><div><div>Hey gautam,<br><br></div>Will you be kind enough to elaboarte some stpes or the tool available in Appscan to scan WS. Do you have any guide handy with you?<br></div>Thanks<br></div>Biswa<br></div>
<div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Nov 21, 2013 at 10:29 AM,  <span dir="ltr"><<a href="mailto:websecurity-request@lists.webappsec.org" target="_blank">websecurity-request@lists.webappsec.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Send websecurity mailing list submissions to<br>
        <a href="mailto:websecurity@lists.webappsec.org">websecurity@lists.webappsec.org</a><br>
<br>
To subscribe or unsubscribe via the World Wide Web, visit<br>
        <a href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org" target="_blank">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</a><br>
<br>
or, via email, send a message with subject or body 'help' to<br>
        <a href="mailto:websecurity-request@lists.webappsec.org">websecurity-request@lists.webappsec.org</a><br>
<br>
You can reach the person managing the list at<br>
        <a href="mailto:websecurity-owner@lists.webappsec.org">websecurity-owner@lists.webappsec.org</a><br>
<br>
When replying, please edit your Subject line so it is more specific<br>
than "Re: Contents of websecurity digest..."<br>
<br>
<br>
Today's Topics:<br>
<br>
   1. Re:  Web Service Security (Gautam)<br>
<br>
<br>
----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Thu, 21 Nov 2013 13:43:42 +1100<br>
From: Gautam <<a href="mailto:gautam.edu@gmail.com">gautam.edu@gmail.com</a>><br>
To: Mario Robles <<a href="mailto:whitehatcr@gmail.com">whitehatcr@gmail.com</a>>,<br>
        <a href="mailto:brett.knuth@healthdirect.org.au">brett.knuth@healthdirect.org.au</a><br>
Cc: websecurity <<a href="mailto:websecurity@lists.webappsec.org">websecurity@lists.webappsec.org</a>><br>
Subject: Re: [WEB SECURITY] Web Service Security<br>
Message-ID:<br>
        <<a href="mailto:CAJC%2BO-RTh020JB3X0otz8W36jKAisqVqtz-od_4V-_ycV8KHdA@mail.gmail.com">CAJC+O-RTh020JB3X0otz8W36jKAisqVqtz-od_4V-_ycV8KHdA@mail.gmail.com</a>><br>
Content-Type: text/plain; charset="windows-1252"<br>
<br>
What I have done In the past was use the IBM appscan as a proxy for the<br>
soapui when they do the normal functional testing of the WS. In this step<br>
appscan is learning the normal behaviour so I don't have to send a traffic<br>
for learning.<br>
<br>
Once the learning is done you can then use appacan to scan.<br>
<br>
This way I got some more results than before.<br>
<br>
Hope this helps.<br>
<br>
Gautam<br>
<br>
<br>
<br>
On Thursday, November 21, 2013, Mario Robles wrote:<br>
<br>
> I've found that chaining SoapUI with burp suite as it's proxy helps a lot<br>
> during WS testing<br>
><br>
> IBM Appscan have a tool for testing WS as well<br>
><br>
> Cheers,<br>
><br>
> Mario<br>
><br>
> El 20/11/2013, a las 05:26 p.m., Pawel Krawczyk <<a href="mailto:pawel.krawczyk@hush.com">pawel.krawczyk@hush.com</a><javascript:_e({}, 'cvml', '<a href="mailto:pawel.krawczyk@hush.com">pawel.krawczyk@hush.com</a>');>><br>

> escribi?:<br>
><br>
> Fully subscribe to Brett?s comment.<br>
><br>
> Web services are very sensitive to a specific standard and implementation.<br>
> One family is SOAP, which is multilayer protocol so even a simple service<br>
> looks very complex. This is why there are no ?point-and-click? SOAP<br>
> security scanners - each scanner is actually a client for specific service<br>
> and needs to be implemented from scratch. If you have WSDL, it?s quite<br>
> easy. You can code it in Java, .NET, Python or SoapUI. One of the<br>
> commercial scanners also has a built-in SOAP client, similar to SoapUI (I<br>
> don?t remember which - IBM AppScan or HP WebInspect).<br>
><br>
> At the end of the day you actually get a fuzzer and what you?re looking<br>
> for are all kind of standard issues - unhandled exceptions, error messages<br>
> etc. The good side is that SOAP programmes rarely sanitise their error<br>
> messages in a fully justified belief that no normal human will look at<br>
> these responses :)<br>
><br>
> It?s more challenging if the service uses advanced features such as<br>
> digital signature or encryption, because as far as I?ve seen this domain<br>
> can be not fully standardised. If you get there, you?ll practically need to<br>
> reimplement the service?s client. And you might find out that there?s no<br>
> good library for that in your favourite programming language, or there?s no<br>
> library apart from one delivered by a vendor. Welcome to the murky world of<br>
> proprietary business protocols? For Java there?s a book that helped me a<br>
> lot with understanding the SOAP world  - ?Building web services with Java? (<br>
> <a href="http://amzn.to/1auRwqA" target="_blank">http://amzn.to/1auRwqA</a>)<br>
><br>
> A separate class of applications using web services are client-facing apps<br>
> with most of the presentation logic implemented in JavaScript (e.g.<br>
> AngularJS) and just pulling data from the server over AJAX or REST. I like<br>
> them because it?s easy to draw a trust boundary, the HTTP communications<br>
> are easy to read and the APIs are also rather simple and clear to<br>
> understand. Most of the manual testing tools such as BurpSuite will handle<br>
> them pretty well.<br>
><br>
> Typical issues you?ll find in headless web services alone will be related<br>
> to SQL, broken authentication and access controls. In case of modern AJAX<br>
> apps, you?ll actually need to look at two sides: one is the web service,<br>
> the other is the presentation layer. DOM-based XSS is prevalent here, but<br>
> if you properly tested the API, you can be pretty confident that you?ll not<br>
> get a data breach as all data goes through the API. Which is also a<br>
> wonderful situation from secure coding perspective - e.g. in Spring (Java)<br>
> the API definitions can be stored in single place, which makes code review<br>
> and possible fixes much easier.<br>
><br>
><br>
> On 20 Nov 2013, at 21:56, Brett Knuth <<a href="mailto:brett.knuth@healthdirect.org.au">brett.knuth@healthdirect.org.au</a>><br>
> wrote:<br>
><br>
>  For what it?s worth ??<br>
><br>
> We always take a risk based approach and map the possible threats to the<br>
> web app depending on its specific components<br>
> Build an attack tree or a threat table XLS, an example below<br>
>  *Injection*<br>
><br>
><br>
<br>
--<br>
<br>
Regards,<br>
<br>
Gautam<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <<a href="http://lists.webappsec.org/pipermail/websecurity_lists.webappsec.org/attachments/20131121/22b35f03/attachment-0001.html" target="_blank">http://lists.webappsec.org/pipermail/websecurity_lists.webappsec.org/attachments/20131121/22b35f03/attachment-0001.html</a>><br>

<br>
------------------------------<br>
<br>
Subject: Digest Footer<br>
<br>
_______________________________________________<br>
websecurity mailing list<br>
<a href="mailto:websecurity@lists.webappsec.org">websecurity@lists.webappsec.org</a><br>
<a href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org" target="_blank">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</a><br>
<br>
<br>
------------------------------<br>
<br>
End of websecurity Digest, Vol 35, Issue 9<br>
******************************************<br>
</blockquote></div><br></div>
_______________________________________________<br>The Web Security Mailing List<br><br>WebSecurity RSS Feed<br><a href="http://www.webappsec.org/rss/websecurity.rss">http://www.webappsec.org/rss/websecurity.rss</a><br><br>Join WASC on LinkedIn http://www.linkedin.com/e/gis/83336/4B20E4374DBA<br><br>WASC on Twitter<br>http://twitter.com/wascupdates<br><br>websecurity@lists.webappsec.org<br>http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org<br></blockquote></div><br></div></body></html>