在此共享自动发现IDOR (越权)漏洞的方法。 这是一种在BurpSuite中使用Autozie和Autorepeater插件检测IDOR漏洞,而无需为每个请求手动更改参数和请求的方法。
IDOR (越权)漏洞:也称为“不安全的直接对象引用”,当用户根据内部资源的访问请求或用户提供的输入对象进行访问时,服务端不进行合理的权限验证,当前用户访问自己的IP
可以在BurpSuite插件库Bapp中安装Autorize和Autorepeater。
在Autorize中发现IDOR漏洞
首先,让我们来看看自动零售。 对客户端发送的请求执行同等的请求。 但是,其中的Cookies是其他用户的会话Cookie,或者必须添加其他验证标头。 下面的示例假设两个用户。
用户a-管理员
用户b-一般用户
现在,您可以使用管理员(用户a )帐户访问web APP应用程序,并在Autorize请求配置中加入用户b的会话Cookie。 然后,请求以用户b的身份启动。 配置如下:
在范围过滤器中设置一点,以便直观地显示响应消息,避免收到大量浪费的结果。 然后打开Autorize。 对于web APP应用程序,表面访问客户端是用户a,但实际上使用的是用户b的会话Cookie :
在这种情况下,“原始长度”(Original length )和“修改长度”(modify length )之间没有任何差异,响应返回的状态代码也为200,因此您可以看到Web服务器端可能存在IDOR漏洞。 当然,如果收到的状态代码是403 Forbidden,则不存在IDOR漏洞,也不行。
在自动报告器中发现IDOR漏洞
自动恢复器可以说是复杂版本的自动恢复。 Autorize通常对复杂的参数(如相关的uuid、suid和uid等用户参数)提供更精确的测试。 但是,像以下uuid的交换测试这样,设定很麻烦,需要手动设定。
在某些云APP应用中,该自动化IDOR探测器不仅可以审计内部租户,还可以审计域间租户的安全功能。 例如,在以下设置中,可以添加替代变量以实现请求主体的更改,也可以按如下方式修改其他参数和请求:
User=Admin
False=True
JSON=XML