[转载]Soap安全测试入门

http://www.cnblogs.com/zerotest/p/4670902.html

在SoapUI4.0引入的安全测试特点使它非常容易为你来验证你的目标服务的功能性安全，就可以评估您的系统常见的安全攻击的漏洞。特别是如果系统是公开可用的，即使不是这种情况，确保了完全安全的环境也是非常重要的。

1.创建一个TestCase的功能（或使用现有）

我们将开始与包括可信的示例项目，将其导入到你的工作空间，并打开第一测试用例：

2.添加安全测试

你可以看到一个空的“安全测试”节点，在左边的树形（见上图），右键单击它，选择“新建SecurityTest”选项，这将打开下面的对话框（如果你使用的是免费版本，再往下读） ：

选择“自动”模式，生成默认的安全扫描，并断言在您的TestCase，然后按“下一步”的TestSteps：

在这里，你可以看到所有的安全扫描和断言将加入安全性测试，按OK创建安全测试所描述的配置，并打开安全测试窗口：

如果您正在运行了SoapUI的免费版本，你只会提示输入安全测试的名称，一旦创建则必须手动添加安全扫描和他们的主张在测试用例的TestSteps（阅读更多有关安全扫描）。

3.运行安全测试

按下左上角的绿色箭头运行测试（确保目标服务或者MockService正在运行），你会看到每个步步测试正在取得的进展和配置安全扫描的安全性测试窗口：

你会看到持续进展，主窗口作为不同的安全扫描的执行，更详细的信息是在安全日志可在底部。

4.分析结果

安全日志的安全测试窗口的底部显示了失败的安全扫描的详细信息，在主窗口中点击一个安全扫描和日志将滚动到该扫描项：

点击查看意外警报可能表明你的目标服务可能存在的安全漏洞。双击各个条目，看看自己的实际消息交换。

在这里，您可以看到发送给我们登出服务操作的XPath注入。

5.创建报告

你的经理高兴你通过报告说明你的服务强大稳定; 在打开的报告预览按顶部菜单中的“Create Report”按钮：