Kostenloses Tool von Vordel für Sicherheitstests von Web-Services

Mit der kostenlosen »SOAPbox« von Vordel führt der Administrator Sicherheits- und Lasttests für seine Web-Services durch. Daneben bringt das Software-Tool Schnittstellen für Google, Bing, REST-Interfaces oder JMS-Queues mit.

Web-Services verdienen bei der Sicherheit besondere Aufmerksamkeit. Sie stellen Funktionen einer Anwendung quasi öffentlich ins Internet. Zum anderen müssen die Web-Services auch einen entsprechenden Ansturm von Anwendern standhalten, was Lasttests sicherstellen. Mit dem Tool »SOAPbox« von Vordel lässt sich dies überprüfen. Der Hersteller stellt die Software nun kostenlos zur Verfügung. Daneben lassen sich mit dem Werkzeug auch Integrationstests mit Google, Bing oder den Web-Service-Frameworks AXIS, Metro und Dot-Net durchführen.

Für die Sicherheit bringt die Soapbox verschiedene Angriffsvektoren für Penetration-Tests mit. Dazu gehören etwa XML-Entiry-Expansion, Jumbo-Payloads, XML-Encapsulation, XPath-Injection oder Replay-Attacken. Weiter lassen sich Keys über ein grafisches Interface hinterlegen. Das Tool unterstützt sowohl SSL als auch Kerberos. Außerdem kann der Administrator SOAP-Anhänge oder Szenerien mit Federated-Identities prüfen.

Soapbox erzeugt Nachrichten für Lasttests. Dabei lässt sich etwa die Größe, die Anzahl der Nachrichten pro Sekunde oder die Nachrichtenkomplexität einstellen. Um die jeweilige Test-Suite zu erzeugen, verwendet das Werkzeug WSDL (Web-Service-Description-Language).

Für den Test zusammen mit anderen Systemen unterstützt das Tool die Transportprotokolle Http 1.0/1.1, JMS (Java-Message-Service), MQ (Websphere), FTP und SFTP (FTP über SSH). Weiter lassen sich SAML-Anfragen (Security-Assertion-Markup-Language) erstellen, um Installationen mit Federated-Identity zu testen. Schließlich erzeugt das Tool Kerberos-Tickets für den Einsatz mit dem Active-Directory. Auch mit der SOAP-Alternative REST (Representational-State-Transfer) kommt die Soapbox zurecht.