这里分享一个自动化发现IDOR(越权)漏洞的方法,那就是在BurpSuite中利用Autozie和Autorepeater插件实现IDOR漏洞的探测识别,而无需针对每个请求手动去变化参数或请求。

IDOR(越权)漏洞:也称“不安全的直接对象引用”,场景发生于当用户对内部资源的访问请求,或基于用户提供的输入对象进行访问时,服务端未进行合理的权限验证,导致当前用户可以未经授权访问获取到不属于自己账户权限的资源或数据。

我们可以在BurpSuite的插件库Bapp中对Autorize 和 Autorepeater进行安装:

用Autorize发现IDOR漏洞

先来看Autorize,对于客户端发送的任何请求来说,它会执行一个等效请求,只是其中的Cookies需要是其他用户的会话Cookie,或是加入其它授权验证头,如下我们假设两个用户:

用户A — 管理员

用户B — 普通用户

现在,我们用管理员(用户A)账户访问Web应用,然后在Autorize的请求配置中我们把用户B的会话Cookie加入,之后,请求将会以用户B的身份地起。配置如下:

对作用域过滤器中我们稍微做一些设置,以此能直观地显示出响应消息,避免收到大量无用结果。接下来,开启Autorize,对Web应用来说,表面上的访问客户端是用户A,但其实其中用的是用户B的会话Cookie:

可以看到,在这种情况下,原始长度(Original length)和修正长度(Modified length)之间都没有任何差异,且响应回来的状态码都是200,因此,这样来看,Web服务端可能存在IDOR漏洞。当然,如果收到的状态码是403 Forbidden,那么说明就不存在IDOR漏洞,是不行的。

用Autorepeater发现IDOR漏洞

Autorepeater可以说是复杂版本的Autorize,它可以针对细化参数实现更加准确的测试,如通常涉及到的uuid,、suid、uid等用户参数。但是,它的设置有些麻烦,比如下面这种uuid的替换测试,需要手动设置:

这种自动化的IDOR探测,在一些云应用中,不仅可针对内部租户,还能针对跨域租户进行安全功能审计。比如在下面这里的设置中,我们可以选择添加替换变量来实现请求主体的变化,另外,还可以对其它参数或请求进行修改,如:

User = Admin

False = True

JSON = XML

burpsuite 越权_挖洞经验 | 用BurpSuite实现越权漏洞(IDOR)的自动发现识别相关推荐

  1. tc写入txt成功却没有内容_挖洞经验 | 构造UserAgent请求头内容实现LFI到RCE提权

    本文分享的Writeup是作者近期针对某20000+用户网站,通过对请求User-Agent内容构造,成功实现从本地文件包含漏洞(LFI)到远程代码执行漏洞(RCE)的提权. 发现LFI漏洞 以下为目 ...

  2. 反编译exe软件_挖洞经验 | Panda反病毒软件本地提权漏洞分析

    写在前面的话 在这篇文章中,我将跟大家讨论一个我在Panda反病毒产品中发现的一个安全漏洞(CVE-2019-12042),这是一个本地提权漏洞,该漏洞将允许攻击者在目标设备上将非特权账户提权至SYS ...

  3. 挖洞经验:通过Vimeo的文件上传功能发现其SSRF漏洞

    漏洞发现过程 之前我一直在学校学习我比较讨厌的科目知识,所以最近我决定放松休息一下,我告诉自己必须要在HackerOne平台中的Vimeo漏洞众测中有所发现.于是,我就直接想测试一下Vimeo平台的上 ...

  4. Google Project Zero挖洞经验整理

    1. 目标:漏洞挖掘越来越难 2. 关注客户端,包括安卓,IOS,WINDOWS操作系统,PDF,DOC,AV等等:各种OSS开源代码安全,并且开放了OSS-FUZZ工具: 3. 漏洞削减技术来帮助G ...

  5. php挖洞提权,挖洞经验 | 看我如何发现GitHub提权漏洞获得$10000赏金

    之前,我从没参加过GitHub官方的一些漏洞众测项目,在HackerOne发起的HackTheWorld比赛中,主办方宣传除了赏金以外,还有机会获得Github提供的终身无限制私有库(unlimite ...

  6. SRC挖洞之文件上传/下载漏洞的实战案例

    文章目录 前言 任意文件下载 案例1 某OA系统任意文件下载 案例2 某登录页面任意文件下载 案例3 某金融网站任意文件下载 案例4 服务端过滤 ../ 绕过下载 案例5 %00截断后下载任意文件 文 ...

  7. 挖洞经验 | 看我如何发现“小火车托马斯”智能玩具APP聊天应用漏洞

    最近,我向智能玩具厂商ToyTalk提交了两个APP相关的漏洞并获得了$1750美金奖励,目前,漏洞已被成功修复,在此我打算公开详细的漏洞发现过程,以便其他APP开发人员将这种脆弱性威胁纳入开发过程的 ...

  8. 挖洞经验 | 利用Slack应用程序窃取Slack用户的下载文件

    本文中,Tenable安全团队研究员David Wells分享了Windows版本Slack终端应用程序的一个漏洞,通过对Slack下载功能的利用,可以操控Slack受害者的下载文件存储设置,间接隐秘 ...

  9. 挖洞经验--绕过cdn寻找真实ip

    判断目标死否是软柿子,是否上云是否有CDN加速 cdn主要用于加速,反向代理主要解决安全 云waf一般在cnd节点上,1通过探测规则库绕过(技巧多多比如:内联注释),2通过找到真实ip直接访问目标 主 ...

最新文章

  1. FreeBSD从零开始---Web服务器搭建(一)
  2. Jessica's Reading Problem
  3. android 9.x 实现应用内更新安装
  4. 详解虚函数的实现过程之初探虚表(1)
  5. (JAVA)IO流之读写单个字节和复制文本文件
  6. Chrome 将内置 QR 扫码共享页面功能
  7. C#数字日期转成中文日期
  8. ★一张图弄明白从零维到十维
  9. 安卓熄屏录像_最屌免费安卓Android屏幕录像软件 (免ROOT)
  10. Highcharter绘制中国地图
  11. Windows11怎么配置Maven环境变量
  12. TVS瞬态抑制二极管选型指南
  13. 两个理想的90°电桥构成的非线性平衡电路
  14. php eclipse aptana,eclipse 下如何安装 Aptana插件
  15. Linux之端口映射
  16. 关于LR和PS显示颜色和到处颜色不同的处理办法
  17. Python 文件 tell() 方法
  18. 利久贝分享:如何摆脱“穷人思维”?
  19. 礼堂椅影院椅安装步骤方法
  20. 汇编语言王爽课程设计二

热门文章

  1. Mysql 高德转天地图经纬度sql ,高德地图GCJ-02火星坐标系与GPS的WGS-84坐标系转换
  2. 能读懂人心的人工智能 甚至可能植入人类大脑
  3. pcb板子开窗_PCB线路板开窗
  4. 信息收集之“骚”姿势
  5. 量子计算机专业大学排名,世界十大新科技排名,量子计算机排第一名(2)
  6. uglifyjs的使用(对js的压缩混淆)
  7. 服务器数据收发测试软件,Packet Sender(UDP/TCP网络测试工具) v7.0.5
  8. 考上研究生了还能被刷?可能是这几点被忽略了!
  9. 高等数学学习笔记——第四十四讲——定积分的几何应用(二)
  10. gdb中的信号(signal)相关调试技巧