随着信息化技术的不断发展,软件安全成了软件行业的重大挑战,因此安全测试也成为了测试人员必备的技能之一。沐沐在安全测试过程中较为常见的就是接口越权漏洞,在尝试过多种工具进行越权漏洞测试后,最终找到了个人认为最便捷最有效率的方式,即使用Burp Suite工具的Auth Analyzer插件进行接口越权批量测试;并且将接口越权测试作为常态化测试内容,不断提升软件安全测试的深度和广度。下文将对接口越权和Burpsuite工具进行简介,重点说明Auth Analyzer插件进行接口越权批量测试的步骤。
01 接口越权
越权访问(Broken Access Control,简称 BAC)是 Web 应用程序中一种常见的漏洞,由于其存在范围广、危害大,被 OWASP 列为 Web 应用十大安全隐患的第二名。该漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定,一旦权限验证不充分,就易致越权漏洞。
越权漏洞分类为以下三种:
-
未授权访问:是指本来没有账号(即没有某个功能权限),但是通过越权操作,获取了某个功能权限;
-
水平越权:是指本来有个账号(即只能操作自己的数据,比如增删改查),但是通过越权操作,能操作其他同等权限账号的数据;
-
垂直越权:是指本来有个账号只有较低的权限,但是通过越权操作,获取了更高的权限。
02 Burpsuite工具
Burp Suite是一款常用的集成化渗透测试工具,提供了仪表盘(Dashboard)、站点目标(Target)、代理(Proxy)、暴力破解(Intruder)、请求修改重发(Repeater)、随机数分析(Sequencer)、编码格式转换(Decoder)等多个模块的功能。我们可以使用Repeater模块进行接口修改,手工验证单个接口是否存在越权,但是这样效率较低,因此我们推荐使用Auth Analyzer插件进行接口越权批量测试。
Burpsuite工具官方下载地址:
https://portswigger.net/burp/releases
03 Auth Analyzer插件
1. 在Extensions->BApp Store里面下载Auth Analyzer插件,如下截图所示:
2. 插件下载成功后,Burpsuite会进行显示,如下截图所示:
04 进行越权测试
1. 在Proxy->Intercept模块下,将【Intercept is on】按钮切换成【Intercept is off】,即在开始抓包后不会进行拦截,如下截图所示:
2. 打开内置浏览器,如下截图所示:
3. 在内置浏览器用高权限用户访问系统进行操作,抓包的接口信息如下截图所示:
4. 在内置浏览器用高权限用户访问系统进行操作,抓包的接口信息如下截图所示:
5. 选中要进行越权测试的接口,鼠标右键弹窗显示Auth Analyzer插件,进行Repeat all requests操作,如下截图所示:
6. 切换到Auth Analyzer模块查看接口越权分析结果,如下截图所示:
7. 点击导出接口批量越权分析的结果,如下截图所示:
8. 导出报告如下截图所示:
接口越权漏洞修复后,再重复以上步骤复测即可。希望这篇文章对大家有所帮助,提升接口越权测试的粒度和效率。
行动吧,在路上总比一直观望的要好,未来的你肯定会感谢现在拼搏的自己!如果想学习提升找不到资料,没人答疑解惑时,请及时加入群: 786229024,里面有各种测试开发资料和技术可以一起交流哦。
最后: 下方这份完整的软件测试视频教程已经整理上传完成,需要的朋友们可以自行领取【保证100%免费】
软件测试面试文档
我们学习必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有字节大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。
4067
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
