学习burp suite或fiddler进行越权测试记录

Posted 2021-04-30 静静的别样花开

1. 什么是越权测试？

   越权漏洞的威胁在于一个账户即可控制全站用户数据。成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。

2. 越权漏洞的分类

   水平越权：可能权限相同，但属于不同领域的越权操作。

   垂直越权：不同权限的用户之间的越权操作。

3. 越权测试的工具

   Burp Suite，1.7的免费版（1.6破解版的https证书配置容易出问题）

   fiddler+chrome+SwitchyOmega插件（建议使用此款工具）

4. Session与Cookie
   Session是在服务端保存的一个数据结构，用来跟踪用户的状态，这个数据可以保存在集群、数据库、文件中。
   Cookie是客户端保存用户信息的一种机制，用来记录用户的一些信息，也是实现Session的一种方式。
5. 查找越权漏洞
   分析请求中是否有参数：
   

   请求中不存在参数，只用cookie进行身份验证，不可越权；

   请求中存在参数，并且参数中的某些值可能是辨别信息的唯一值（如employeeID、departmentID、ID等），可能存在越权；越权的原因是参数中的employeeID没有判断是否是cookie中用户所管辖的员工ID。

6. Fiddler与Burp Suite的优缺点

   burp不支持中文，返回值的存在中文时会出现乱码，需要通过浏览器查看返回值的中文信息；

   fiddler可以通过颜色来标记接口，burp不支持标记，但它可以把该请求发送到重放列表里进行操作，在列表中需要记忆第几个是公司A的接口，第几个是公司B的接口；

   如果纯做数据拦截推荐fiddler，如果需要做爆破渗透推荐burp。