你的应用安全吗?开源API越权漏洞检测系统奉上!

安全 应用安全
Web应用的安全是中不可忽视的关键方面。我们必须确保其Web应用与后台通信的安全,以防止数据泄露,因为这可能导致重大的财务损失和声誉受损。

相信大部分读者跟我一样,每天都在写各种API为Web应用提供数据支持,那么您是否有想过您的API是否足够安全呢?

Web应用的安全是网络安全中不可忽视的关键方面。我们必须确保其Web应用与后台通信的安全,以防止数据泄露,因为这可能导致重大的财务损失和声誉受损。

而在Web应用的安全问题中,最常见的漏洞之一是不安全的直接对象引用,简称:IDOR。即:当应用程序允许用户访问他们不应该访问的资源时,就会发生IDOR漏洞。比如:SaaS软件的用户A访问到了用户B的数据,这样的漏洞是灾难性的,因为用户将不再信任您提供的服务。

那么如何方便、快捷的检测IDOR漏洞呢?今天就给大家推荐一个好用的开源工具:IDOR_detect_tool

开源地址:https://github.com/y1nglamore/IDOR_detect_tool

使用简单

  • 从 GitHub 存储库下载工具
  • 准备好目标系统的A、B两账号,根据系统的鉴权逻辑(Cookie、header、参数等)将A账号信息配置config/config.yml,之后登录B账号

  • 使用B账号访问,脚本会自动替换鉴权信息并重放,根据响应结果判断是否存在越权漏洞

  • 生成报表,每次有新漏洞都会自动添加到report/result.html中,通过浏览器打开

  • 点击具体条目可以展开/折叠对应的请求和响应:

核心检测逻辑


责任编辑:武晓燕 来源: didispace.com
相关推荐

2021-11-08 16:10:41

漏洞SonarQube安全工具

2009-02-17 14:07:21

2021-08-09 08:20:59

API安全测试漏洞

2015-05-27 14:55:45

2021-06-18 12:50:55

Cloud开源工具漏洞

2015-08-21 14:57:27

漏洞智能钥匙汽车安全

2022-09-08 09:59:23

API网络安全

2015-10-21 13:55:27

网络安全检测系统NST

2023-05-26 00:04:02

软件安全漏洞

2014-06-03 11:36:18

2016-02-19 16:35:07

云安全云计算私有云

2012-04-12 09:42:59

数据安全开源系统

2021-10-18 10:29:15

API漏洞网络安全

2020-01-09 09:43:12

Signal聊天应用开源

2023-01-09 14:30:03

2014-08-11 15:57:16

2022-04-26 10:13:02

API漏洞安全

2014-06-03 09:23:41

2019-06-03 10:14:07

API网关微服务

2018-07-09 15:32:57

点赞
收藏

51CTO技术栈公众号