相信大部分讀者跟我一樣,每天都在寫各種API為Web應用提供資料支援,那麼您是否有想過您的API是否足夠安全呢?
Web應用的安全是網絡安全中不可忽視的關鍵方面。我們必須確定其Web應用與背景通信的安全,以防止資料洩露,因為這可能導緻重大的财務損失和聲譽受損。
而在Web應用的安全問題中,最常見的漏洞之一是不安全的直接對象引用,簡稱:IDOR。即:當應用程式允許使用者通路他們不應該通路的資源時,就會發生IDOR漏洞。比如:SaaS軟體的使用者A通路到了使用者B的資料,這樣的漏洞是災難性的,因為使用者将不再信任您提供的服務。
那麼如何友善、快捷的檢測IDOR漏洞呢?今天就給大家推薦一個好用的開源工具:IDOR_detect_tool
開源位址:https://github.com/y1nglamore/IDOR_detect_tool
使用簡單
- 從 GitHub 存儲庫下載下傳工具
- 準備好目标系統的A、B兩賬号,根據系統的鑒權邏輯(Cookie、header、參數等)将A賬号資訊配置config/config.yml,之後登入B賬号
- 使用B賬号通路,腳本會自動替換鑒權資訊并重放,根據響應結果判斷是否存在越權漏洞
- 生成報表,每次有新漏洞都會自動添加到report/result.html中,通過浏覽器打開
- 點選具體條目可以展開/折疊對應的請求和響應:
核心檢測邏輯