这个示例中包含一个错误消息,有助于对攻击进行微调:
http://mdsec.net/bank/27/
下面的示例包含同样的漏洞,但反馈信息很少。由此可见,如果错误消息没有什么提示信息,利用SOAP注入有多难!
http://mdsec.net/bank/18/
http://mdsec.net/bank/6/
SOAP注入可能很难发现,因为随意提交XML元字符会破坏SOAP消息的格式,而且这样做生成的错误消息也极其简单。但是,使用下面的步骤依然可以相对可靠地检测出SOAP注入漏洞。