目录
Authz是一款用来测试逻辑越权的插件
一、Authz
1.下载
这款插件直接在burpsuite的extender中的b app store中下载即可。
2.使用
(1)截获数据包
(2)测试
三.Authzmatrix的安装和使用
Authzmatrix同样是一个逻辑越权检测工具,但是他比较新
1.配置jython环境
(1)官网下载
(2)点击下载
(3)在burpsuite里导入
第一个栏里是刚刚下载的jython地址
后面是python的第三方包的文件夹。
2.在bapp store下载Authzmarix
3.使用Authzmarix
(1)将截获的数据包发送到AUTHzmarix
(2)创建测试用户
(3)发送cookie给lili
(4)创建用户属于什么角色
(5)run运行
绿色内容表示无漏洞,红色表示请求中可能存在漏洞,蓝色表示结果可能存在假阳性(session过期或不行,看看session有没有搞错)
(6)复选框的作用
①上边这个复选框是用来分组的,把相同身份的用户分到一个组(普通用户,超级用户)里
②下面这个复选框是用来选定哪些身份的用户可以来发送这个request请求。