一款API水平越权漏洞检测工具

一款API水平越权漏洞检测工具
2023-2-28 09:46:14 Author: 黑白之道(查看原文) 阅读量:15 收藏

功能

通过替换认证信息后重放请求，并对比数据包结果，判断接口是否存在越权漏洞

特点

1. 支持HTTPS

2. 自动过滤图片/js/css/html页面等静态内容

3. 多线程检测，避免阻塞

4. 支持输出报表与完整的URL、请求、响应

安装和使用

安装依赖

python3 -m pip install -r requirements.txt

启动


python3 start.py

即可监听socks5://127.0.0.1:8889。

安装证书

使用SwitchOmega等插件连接该代理，并访问mitm.it即可进入证书安装页面，根据操作系统进行证书安装。

以MacOS为例：

下载安装后，打开钥匙串访问，找到mitmproxy证书，修改为alwaystrust

检测漏洞

首先准备好目标系统的A、B两账号，根据系统的鉴权逻辑（Cookie、header、参数等）将A账号信息配置config/config.yml，之后登录B账号

使用B账号访问，脚本会自动替换鉴权信息并重放，根据响应结果判断是否存在越权漏洞

生成报表

每次有新漏洞都会自动添加到report/result.html中，通过浏览器打开：

点击具体条目可以展开/折叠对应的请求和响应：

下载地址：

https://github.com/y1nglamore/IDOR_detect_tool

作者：y1nglamore
原文地址：https://github.com/y1nglamore/IDOR_detect_tool

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END

多一个点在看多一条小鱼干

文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650564322&idx=4&sn=13e330dbed2d765a4a99045e8584ef32&chksm=83bd0306b4ca8a10745f4d94674b958be81061c2e19b51b243156ff9e2e590f66efedfa54f7f#rd
如有侵权请联系:admin#unsafe.sh