探索自动化安全测试新高度——Autorize

于 2024-05-17 10:03:38 发布
阅读量419 收藏 3
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00074/article/details/138997060
版权

探索自动化安全测试新高度——Autorize

项目简介

Autorize,一个由安全专家Barak Tawily创建的Burp Suite扩展工具,旨在帮助安全测试者进行自动化的权限验证测试。不仅如此,最新版本还增加了自动认证测试功能,使得安全评估更加全面和高效。

Autorize界面截图

技术分析

Autorize基于Python语言开发,可无缝集成到Jython环境中的Burp Suite。它的工作原理是在Burp的拦截器中运行,通过分析请求和响应来检测授权和身份验证机制的有效性。授权测试过程中,Autorize会插入低权限用户的授权头,观察服务器是否正确执行权限控制;而认证测试则检查无身份验证的请求是否被拒绝。

应用场景

在实际应用中,当你在对Web应用程序进行全面的安全审查时,Autorize可以极大地提高你的工作效率:

  1. 权限测试 - 无需手动操作,Autorize能自动识别哪些页面或资源仅对高权限用户开放。
  2. 认证测试 - 对于忘记登录或登录状态丢失的请求,Autorize也能检查服务端是否有效地强制重新认证。

项目特点

  1. 自动检测 - 自动检测并报告权限和认证的执行情况,节省了大量手动测试的时间。
  2. 易用配置 - 简单明了的配置选项,只需提供低权限用户的授权头即可开始测试。
  3. 灵活拦截 - 用户可以选择拦截特定域的请求,以避免不必要的干扰。
  4. 自定义过滤器 - 提供响应内容长度、字符串匹配(正则表达式)等过滤器,让检测更准确。
  5. 可视化反馈 - 通过不同颜色标记的结果状态,清晰展示每个请求的授权执行状况。

安装与使用

安装Autorize非常简单,只需几个步骤:

  1. 下载Burp Suite和Jython独立JAR。
  2. 在Burp的扩展设置中添加Jython环境。
  3. 从BApp商店安装Autorize,或者直接下载源码导入Burp。
  4. 根据用户指南配置并启动拦截,开始使用。

现在,是时候升级你的安全测试流程,尝试Autorize带来的效率提升,让自动化成为你的得力助手。立即加入我们,一起探索安全测试的新边界!

戴艺音
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
【Burp入门第三十二篇】Autorize插件安装使用教程+越权实战案例
等风来
04-18 726
Autorize是一个旨在帮助渗透测试人员检测授权漏洞的扩展。将低权限用户的cookie提供给扩展程序并使用高权限用户浏览网站,该扩展会自动重复每一个请求与低权限用户的会话并检测授权漏洞;除了授权漏洞之外,还可以在没有任何cookie的情况下重复每一个请求,以检测身份验证漏洞;报告的执行状态如下:绕过!-红色强制执行!-绿色强制执行???(请配置强制检测器) -黄色。
RFS的web自动化验收测试——安装篇
03-23
引言:什么是RFS——RobotFramework+selenium2library,本系列主要介绍web自动化验收测试方面。好久没写东西了,最近没怎么弄QTP了,之前一直想找一个能方便管理QTP对象的东东,FrameworkManage用excel管理虽然是...
【2024版】最BurpSuit的使用教程(非常详细)零基础入门到精通,看一篇就够了(5)
最新发布
2401_84862107的博客
05-12 1158
下载地址:https://github.com/c0ny1/chunked-coding-converterShiro被动检测网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化的资料的朋友,可以戳这里获取一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
越权漏洞与autorize插件使用
ve9etable的博客
10-21 4654
本文将对越权漏洞进行简单介绍,然后使用BurpSuite展示检测越权漏洞的方法,最后使用BurpSuite的autorize插件半自动化大批量的检测网站受否存在越权漏洞。 零、越权漏洞介绍 越权访问说白了就是你干了不该你干的事,看了不该你看的东西。大的方向上可以分为水平越权和垂直越权。 水平越权就好像Lisa和Jessica都是某购物网站的忠实用户,她们每天都会购买大量没有用的东西,但是有一天Lisa没有经过任何认证就看到了Jessica的购买历史记录,然后出现了一个大问题…… 垂直越权就相当于To
批量越权未授权测试(Burpsuite Autorize插件)
菜鸟学安全的博客
06-25 2668
由于安全设备的发展,常规漏洞难以挖掘,的挖掘重要性与日俱增。在测试越权和未授权的时候人工对单一接口测试耗时耗力,。减少漏测。burp 插件Autoriz插件批量越权和未授权测试。
Autorize:由Barak Tawily开发的Jython编写的burp套件的自动授权执行检测扩展,旨在减轻应用程序安全人员的工作并允许他们执行自动授权测试
04-29
自动化 Autorize是Burp Suite的自动授权执行检测扩展。 它是由应用程序安全专家Barak Tawily用Python编写的。 Autorize旨在通过执行自动授权测试来帮助安全测试人员。 从现在的最版本开始,Autorize还将执行自动身份验证测试。 安装 下载Burp Suite(显然): : 下载Jython独立JAR: : 打开打p->扩展器->选项-> Python环境->选择文件->选择Jython独立JAR 从BApp Store安装Autorize或执行以下步骤: 下载Autorize.py文件。 打开Burp-> Extender->扩展名-> Add->选择Autorize.py文件。 查看自动标签,享受自动授权检测:) 用户指南-如何使用? 安装后,“自动”选项卡将添加到Burp。 打开配置选项卡(自动->配置)。 获取您的低特
Autorize插件的使用方法
weixin_50464560的博客
09-11 1967
在Proxy或者Repeater有Request请求包后,要ctrl+A全选,然后再右键发送到Autorize插件中:
越权检测 burp插件 autorize 使用
热门推荐
weixin_45596492的博客
04-08 1万+
官方描述 Autorize 是一个旨在帮助渗透测试人员检测授权漏洞的扩展,这是 Web 应用程序渗透测试中比较耗时的任务之一。 将低权限用户的 cookie 提供给扩展程序并使用高权限用户浏览网站就足够了。该扩展会自动重复每个请求与低权限用户的会话并检测授权漏洞。 除了授权漏洞之外,还可以在没有任何 cookie 的情况下重复每个请求,以检测身份验证漏洞。 该插件无需任何配置即可工作,但也是高度可定制的,允许配置授权执行条件的粒度以及插件必须测试哪些请求,哪些不需要。可以保存插件的状态并以 HTML
RFS的web自动化验收测试——介绍篇
03-23
引言:什么是RFS——RobotFramework+selenium2library,本系列主要介绍web自动化验收测试方面。  引言:什么是RFS——RobotFramework+selenium2library,本系列主要介绍web自动化验收测试方面。  ==RobotFramework...
关于接口测试——自动化框架的设计与实现
02-24
一般测试工作限在3年以上且接触过自动化测试的应该对以下几种自动化测试框架思想有一定的认知:模块化思想库思想数据驱动思想关键字驱动思想以上仅仅是代表了一种自动化测试的思想,并不能定义为框
开源Web自动化测试框架——Watir试用手记
03-23
WebWEB开源Web自动化测试框架——Watir试用手记软件测试Watir是一个使用Ruby实现的开源Web自动化测试框架,相对于那些庞大的商业工具来说,它很小巧,也很灵活,提供的功能也足够用。最近抽时间试用了一下,感觉还...
BurpSutie拓展插件推荐-辅助测试插件
Boom!脑洞大爆炸的博客
07-04 1902
BurpSutie拓展插件推荐-辅助测试插件
BurpSuite插件推荐
技术超强的网络安全平台
11-25 3214
实验2.2 磁盘管理及挂载与卸载 一、实验目的 (1)掌握磁盘的添加、分区和格式化操作; (2)掌握磁盘分区的挂载与卸载; 二、实验需求 (1)在虚拟机处于关机状态下,创建快照,添加1块磁盘; (2)虚拟机开机,并以root用户访问centos7系统,对磁盘进行分区和格式化操作; (3)在root用户的根目录下创建目录,并实现对磁盘分区的挂载与卸载; 三、实验步骤 1、创建快照,虚拟机关机,添加1块容量为10G的硬盘(SCSI格式)。在添加硬盘后,请给出截图。 2、虚拟机开机,并通过root用户访问系统
BurpSuite进阶篇--自动化挖掘越权漏洞
tangshuangsss的专栏
12-22 2462
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作...
一些相见恨晚的BurpSuite插件推荐
weixin_37104668的博客
03-05 1436
BurpSuite 是我心中最强大的Web渗透工具,没有之一!它也是日常中用得最多的工具,它有一些强大的插件可以帮忙我们减少大量的工作量以及更好地挖掘漏洞,今天分享下我常用的一些 burp 插件。 Autorize —— 强大的越权自动化测试工具 如果你在测试越权的时候,还是手动把URL复制到另一个浏览器的低权限账号中来打开,你就out了! Autorize 是一个测试权限问题的插件,可以在插件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

戴艺音

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值