Burpsuite 就不过多介绍了,今天来讲讲如何使用 Burpsuite 来快速扫描越权漏洞,提升工作效率的必备插件。
AuthMatrix
AuthMatrix 是 Burp Suite 的一个扩展插件,它提供了一种简单的方法来测试 Web 应用程序和 Web 服务中的授权功能。借助 AuthMatrix,渗透测试人员可以集中精力全面定义用户,角色和针对其特定目标应用程序的请求的表。这些表的结构与各种威胁建模方法中常见的访问控制矩阵的格式相似。
表格组装完成后,渗透测试人员可以使用简单的 web 界面启动角色和请求的所有组合。可通过易于阅读的彩色编码界面来确认结果,该界面指示系统中检测到的任何授权漏洞。此外,该扩展功能还可以保存和加载目标配置,以进行简单的回归测试。
简单来说,它是用于检测权限授权问题的插件,设置好 session 就能进行自动化测试。
插件项目地址:https://github.com/SecurityInnovation/AuthMatrix
安装
一键安装
可以通过 BurpSuite 中的 BApp Store 安装 AuthMatrix。
【Extender】->【BApp Store】,找到 AuthMatrix,单击 【install】即可。
手动安装
下载项目中的 AuthMatrix.py。
下载地址