当前位置: 首页 > news >正文

SaaS-API越权漏洞检测系统

概述

通过替换认证信息后重放请求,并对比数据包结果,判断接口是否存在越权漏洞

特点

  1. 支持HTTPS
  2. 自动过滤图片/js/css/html页面等静态内容
  3. 多线程检测,避免阻塞
  4. 支持输出报表与完整的URL、请求、响应

安装和使用

安装依赖

git clone  https://github.com/y1nglamore/IDOR_detect_tool.git
python3 -m pip install -r requirements.txt

启动

python3 start.py

即可监听socks5://127.0.0.1:8889。

安装证书

使用SwitchOmega等插件连接该代理,并访问mitm.it即可进入证书安装页面,根据操作系统进行证书安装。

以MacOS为例:

175143_y7wfgR

下载安装后,打开钥匙串访问,找到mitmproxy证书,修改为alwaystrust

175302_B8WD5s

检测漏洞

首先准备好目标系统的A、B两账号,根据系统的鉴权逻辑(Cookie、header、参数等)将A账号信息配置config/config.yml,之后登录B账号

175522_XdPt84

使用B账号访问,脚本会自动替换鉴权信息并重放,根据响应结果判断是否存在越权漏洞

175435_PFm3WY

生成报表

每次有新漏洞都会自动添加到report/result.html中,通过浏览器打开:

181645_PaztjA

点击具体条目可以展开/折叠对应的请求和响应:

181811_HJMDoo

检测逻辑

230504_ECb2mP

原文连接:https://github.com/y1nglamore/IDOR_detect_tool

相关文章:

  • 【Flume】Flume原理简述及示例实践
  • 程序员想兼职赚钱?这几个渠道你一定要知道?
  • Hystrix高可用框架
  • 【Python百日进阶-Web开发-Vue3】Day505 - 自动创建Vue项目
  • 点云处理指南介绍
  • 抓包对抗原理与案例
  • Android中级——滑动分析
  • 阅读腾讯云SDK文档心得
  • 2023年PMP 具体的考试时间是什么时候?
  • 3-3-多线程-TheadLocal内存泄漏
  • 基于SIFT的图像Matlab拼接教程
  • 孙子兵法总结
  • Axios用法总结(附有封装好的axios请求)
  • java 设计原则
  • SpringMVC之bean加载控制
  • 【HBase高级】5. HBase数据结构(上)跳表、二叉搜索树、红黑树、B、B+树
  • 你知道那些数字消失了吗?_?
  • C++——继承
  • VisualStudio—Remote Debug
  • python进阶——人工智能实时目标跟踪
  • 电加热油锅炉工作原理_电加热导油
  • 大型电蒸汽锅炉_工业电阻炉
  • 燃气蒸汽锅炉的分类_大连生物质蒸汽锅炉
  • 天津市维修锅炉_锅炉汽化处理方法
  • 蒸汽汽锅炉厂家_延安锅炉厂家
  • 山西热水锅炉厂家_酒店热水 锅炉
  • 蒸汽锅炉生产厂家_燃油蒸汽发生器
  • 燃煤锅炉烧热水_张家口 淘汰取缔燃煤锅炉
  • 生物质锅炉_炉
  • 锅炉天然气_天燃气热风炉