[Owasp-germany] SOAP UI und Proxy und HTTPS

Dirk Wetter dirk.wetter at owasp.org
Tue Jan 29 13:43:51 UTC 2013


Hallo Hans,

On 01/22/2013 09:38 AM, Schuell, Hans wrote:

> wir nutzen die folgende Kette unter Windows:
> 
> SOAP-UI => OWASP-ZAP-Proxy => HTTPS-basierte Web-Services
> 
> Das HTTPS läuft mit Client-Authentisierung (Smart-Cards). Der OWASP ZAP nutzt PKCS11.
> 
> Knackpunkt ist bei SOAP-UI die 4.5.1.1 (nighly build) zu nehmen. Mit der 4.5.1 geht es nicht. 

Danke für den weiterhelfenden Tipp! Das kann ich bestätigen.

Da ich ein paar private Rückfragen bekommen habe, hier gesammelt
ein kleines HOWTO (mit Burp):

* man nehme den o.a. nightly build
* man editiere das startup file (siehe Anhang, Windoze entsprechend)
* In GUI bleiben Proxy- und SSL-Einstellungen leer
* Man stelle im Proxy ein Zertifikat mit dem CN des Ziels aus
* Firefox o.ä. nehmen, den Proxy benutzen und dessen Zertifikat in
  den Browser importieren, dann exportieren (PEM-enkodiert,
  hier: PortSwigger.pem)
* keytool -import -file PortSwigger.pem -keystore PortSwigger.jks

YMMV, HTH ;-)

Viele Grüße,

Dirk


> 
> Mit freundlichem Gruß
> 
> DATEV eG
> Hans Schuell
> Kompetenz-Center Security | E86
> 90329 Nürnberg
> Telefon +49(911)319-8229 | Telefax +49(911)14708225
> E-Mail hans.schuell at datev.de | www.datev.de
> Fürther Str. 84 | Nürnberg
> 
> 
> -----Ursprüngliche Nachricht-----
> Von:  "Dirk Wetter" <dirk.wetter at owasp.org>
> Gesendet: Mo 21.01.2013 18:03
> An: "OWASP Germany" <owasp-germany at lists.owasp.org>
> Cc:  
> Betreff: [Owasp-germany] SOAP UI und Proxy und HTTPS
> 
> 
> Hi all,
> 
> hat jemand das erfolgreich zum Fliegen gebracht, wohl gemerkt mit
> einem Webservice, der nur via HTTPS erreichbar ist?
> 
> Unter Linux zumindest mit Version 4.5.1 und gehacktem all.js geht das
> so ohne Weiteres gar nicht. Da steht eigentlich ja schon drin:
> 
> user_pref("network.proxy.type", 5); --> http://kb.mozillazine.org/Network.proxy.type
> 
> also IMO Zugriff auf die Environment-Variablen HTTP/S_PROXY, was schon
> nicht bei HTTP geht. Wenn man den Typ auf 1 ändert und dann die
> entsprechenden Variablen setzt, fluppt's dann auch nicht. IIRC
> ging das mal.
> 
> Wäre für einen Hinweis dankbar, wenn jemand mehr Erfolg unter Windows
> mit der aktuellen SOAP-UI-Version hat.
> 
> 
> Viele Grüße,
> 
> Dirk

-------------- next part --------------
--- bin/soapui.sh       2013-01-08 11:25:42.000000000 +0100
+++ bin/soapui-burp.sh  2013-01-25 13:50:58.973629637 +0100
@@ -7,6 +7,8 @@
 
 ### $Id$ ###
 
+PROXY="-Dhttps.proxyHost=localhost -Dhttps.proxyPort=8080 -Dhttp.proxyHost=localhost -Dhttp.proxyPort=8080 -Djavax.net.ssl.trustStore=<PFAD>/soapUI-4.5.1.1-SNAPSHOT/PortSwigger.jks -Djavax.net.ssl.trustStorePassword=<PASSWORT>"
+
 DIRNAME=`dirname $0`
 
 # OS specific support (must be 'true' or 'false').
@@ -124,9 +126,10 @@
                     export SOAPUI_CLASSPATH=$SOAPUI_CLASSPATH:$SOAPUI_HOME/lib/ws-commons-util-1.0.2.jar
                     export SOAPUI_CLASSPATH=$SOAPUI_CLASSPATH:$SOAPUI_HOME/lib/guava-11.0.jar
                     export SOAPUI_CLASSPATH=$SOAPUI_CLASSPATH:$SOAPUI_HOME/lib/commons-httpclient-3.1.jar
 
 export SOAPUI_CLASSPATH
 
-JAVA_OPTS="-Xms128m -Xmx1024m -Dsoapui.properties=soapui.properties -Dgroovy.source.encoding=iso-8859-1 -Dsoapui.home=$SOAPUI_HOME/bin"
+JAVA_OPTS="-Xms128m -Xmx1024m $PROXY -Dsoapui.properties=soapui.properties -Dgroovy.source.encoding=iso-8859-1 -Dsoapui.home=$SOAPUI_HOME/bin"
 then
     JAVA_OPTS="$JAVA_OPTS -Dsoapui.ext.libraries=$SOAPUI_HOME/bin/ext"



More information about the Owasp-germany mailing list