web安全之未授权漏洞批量检测
工具
浏览器插件findsomething
burpsuite
安装
扩展中心下载安装
https://addons.mozilla.org/zh-CN/firefox/search/?q=findsomething
点击安装
实战
访问网站,使用findsomething进行js分析,获取接口
保存为txt文件
将请求包发送至intruder中
标记url部分,具体url从哪里拼接知道跟目录如:hello world。或者实际情况判断。可以分别构造get请求和post请求各自批量测试一遍。
导入api接口
最后一步点击start attack
重点关注响应为200的和响应长度较大的数据。
有兴趣的话可以研究一下源码
https://github.com/momosecurity/FindSomething