本文介绍了如何利用BurpSuite的Autozie和Autorepeater插件自动发现权限漏洞(IDOR)。通过设置不同的用户会话和参数,这两种工具能够帮助检测未经授权的数据访问。在Autorize中,通过改变会话cookie,如果响应状态码仍为200,可能存在IDOR。而Autorepeater则允许更精确地测试特定参数,如uuid,适用于多租户系统的安全审计。
IDOR(越权)漏洞:也称为“不安全的直接对象引用”,当用户请求访问内部资源或基于用户提供的输入对象进行访问,服务器未执行合理的权限验证时,发生当前用户可以未经授权访问不属于其帐户权限的资源或数据。
我们可以在BurpSuite插件库Bapp中安装Autorize和Autorepeater:
使用Autorize发现IDOR漏洞
让我们先来看一下“Autorize”。 对于客户端发送的任何请求,它将执行等效请求,不同之处在于cookie必须是其他用户的会话cookie或添加其他身份验证标头。 假设我们有两个用户:
用户A —管理员
用户B-普通用户
现在,我们使用管理员(用户A)帐户访问Web应用程序。 然后在Autorize的请求配置中,添加用户B的会话cookie。此后,该请求将以用户B的身份启动。配置如下:
我们在作用域过滤器中进行了一些设置,以便我们可以直观地显示响应消息并避免收到很多无用的结果。 接下来,启用“Autorize”。 对于Web应用程序,表面上的访问客户端是用户A,但实际上它使用用户B的会话cookie:
可以看出,在这种情况下,原始长度和修改后的长度之间没有区别,并且响应的状态码为200。因此,从这个角度来看,Web服务器可能存在IDOR漏洞。 当然,如果收到的状态码是403 Forbidden,则表示没有IDOR漏洞,它将无法使用。
Autorepeater发现IDOR漏洞
Autorepeater可以说是Autorize的复杂版本,它可以对精制参数(例如uuid,suid,uid和通常涉及的其他用户参数)进行更准确的测试。 但是,它的设置有点麻烦,例如以下uuid替换测试,需要手动设置:
在某些云应用程序中,这种自动IDOR检测不仅可以对内部租户执行安全功能审核,还可以对跨域租户执行安全功能审核。 例如,在下面的设置中,我们可以选择添加替换变量以实现请求主体的变化。 此外,我们还可以修改其他参数或请求,例如:
User = Admin
False = True
JSON = XML
扫一扫
576
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
