大家好,又见面了,我是你们的朋友全栈君。
IDOR(越权)漏洞:也称为“不安全的直接对象引用”,当用户请求访问内部资源或基于用户提供的输入对象进行访问,服务器未执行合理的权限验证时,发生当前用户可以未经授权访问不属于其帐户权限的资源或数据。
我们可以在BurpSuite插件库Bapp中安装Autorize和Autorepeater:
使用Autorize发现IDOR漏洞
让我们先来看一下“Autorize”。 对于客户端发送的任何请求,它将执行等效请求,不同之处在于cookie必须是其他用户的会话cookie或添加其他身份验证标头。 假设我们有两个用户:
用户A —管理员
用户B-普通用户
现在,我们使用管理员(用户A)帐户访问Web应用程序。 然后在Autorize的请求配置中,添加用户B的会话cookie。此后,该请求将以用户B的身份启动。配置如下:
我们在作用域过滤器中进行了一些设置,以便我们可以直观地显示响应消息并避免收到很多无用的结果。 接下来,启用“Autorize”。 对于Web应用程序,表面上的访问客户端是用户A,但实际上它使用用户B的会话cookie:
可以看出,在这种情况下,原始长度和修改后的长度之间没有区别,并且响应的状态码为200。因此,从这个角度来看,Web服务器可能存在IDOR漏洞。 当然,如果收到的状态码是403 Forbidden,则表示没有IDOR漏洞,它将无法使用。
Autorepeater发现IDOR漏洞
Autorepeater可以说是Autorize的复杂版本,它可以对精制参数(例如uuid,suid,uid和通常涉及的其他用户参数)进行更准确的测试。 但是,它的设置有点麻烦,例如以下uuid替换测试,需要手动设置:
在某些云应用程序中,这种自动IDOR检测不仅可以对内部租户执行安全功能审核,还可以对跨域租户执行安全功能审核。 例如,在下面的设置中,我们可以选择添加替换变量以实现请求主体的变化。 此外,我们还可以修改其他参数或请求,例如:
User = Admin
False = True
JSON = XML
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/134070.html原文链接:https://javaforall.net
