开源API越权漏洞检测系统推荐:IDOR_detect_tool

Posted 程序猿DD

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了开源API越权漏洞检测系统推荐:IDOR_detect_tool相关的知识,希望对你有一定的参考价值。

相信大部分读者跟我一样,每天都在写各种API为Web应用提供数据支持,那么您是否有想过您的API是否足够安全呢?

Web应用的安全是网络安全中不可忽视的关键方面。我们必须确保其Web应用与后台通信的安全,以防止数据泄露,因为这可能导致重大的财务损失和声誉受损。

而在Web应用的安全问题中,最常见的漏洞之一是不安全的直接对象引用,简称:IDOR。即:当应用程序允许用户访问他们不应该访问的资源时,就会发生IDOR漏洞。比如:SaaS软件的用户A访问到了用户B的数据,这样的漏洞是灾难性的,因为用户将不再信任您提供的服务。

那么如何方便、快捷的检测IDOR漏洞呢?今天就给大家推荐一个好用的开源工具:IDOR_detect_tool

IDOR_detect_tool的使用简单,只需要下面几个步骤:

  • 从 GitHub 存储库下载工具
  • 准备好目标系统的A、B两账号,根据系统的鉴权逻辑(Cookie、header、参数等)将A账号信息配置config/config.yml,之后登录B账号
  • 使用B账号访问,脚本会自动替换鉴权信息并重放,根据响应结果判断是否存在越权漏洞
  • 生成报表,每次有新漏洞都会自动添加到report/result.html中,通过浏览器打开
  • 点击具体条目可以展开/折叠对应的请求和响应

如果您刚好在做这个内容,不妨看看这个开源项目!

开源地址:https://github.com/y1nglamore/IDOR_detect_tool

欢迎关注我的公众号:程序猿DD。前沿技术早知道,弯道超车有希望!积累超车资本,从关注DD开始!

以上是关于开源API越权漏洞检测系统推荐:IDOR_detect_tool的主要内容,如果未能解决你的问题,请参考以下文章

小米范工具系列之八:小米范越权漏洞检测工具

还在人工测越权漏洞?快来自动扫描吧!

浅谈越权漏洞

逻辑漏洞基于BurpSuite的越权测试实战教程

pikaqiu练习平台-Pikachu-Over Permission(越权漏洞)

pikachu靶场-Over Perrmission(越权漏洞)