探索网络安全新技术
攀登黑客技术最高峰

IDOR_detect_tool:SaaS-API水平越权漏洞检测系统

工具概述

通过替换认证信息后重放请求,并对比数据包结果,判断接口是否存在越权漏洞

工具特点

支持HTTPS
自动过滤图片/js/css/html页面等静态内容
多线程检测,避免阻塞
支持输出报表与完整的URL、请求、响应

安装和使用

安装依赖

python3 -m pip install -r requirements.txt

启动

python3 start.py

即可监听

socks5://127.0.0.1:8889

安装证书

使用SwitchOmega等插件连接该代理,并访问mitm.it即可进入证书安装页面,根据操作系统进行证书安装。

以MacOS为例:

IDOR_detect_tool:SaaS-API水平越权漏洞检测系统-威武网安

下载安装后,打开钥匙串访问,找到mitmproxy证书,修改为alwaystrust

IDOR_detect_tool:SaaS-API水平越权漏洞检测系统-威武网安

检测漏洞

首先准备好目标系统的A、B两账号,根据系统的鉴权逻辑(Cookie、header、参数等)将A账号信息配置config/config.yml,之后登录B账号

IDOR_detect_tool:SaaS-API水平越权漏洞检测系统-威武网安

使用B账号访问,脚本会自动替换鉴权信息并重放,根据响应结果判断是否存在越权漏洞

生成报表

每次有新漏洞都会自动添加到report/result.html中,通过浏览器打开:

IDOR_detect_tool:SaaS-API水平越权漏洞检测系统-威武网安

点击具体条目可以展开/折叠对应的请求和响应:

IDOR_detect_tool:SaaS-API水平越权漏洞检测系统-威武网安

检测逻辑

IDOR_detect_tool:SaaS-API水平越权漏洞检测系统-威武网安

「是否静态」那里是和否写反了

工具下载

IDOR_detect_tool

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《IDOR_detect_tool:SaaS-API水平越权漏洞检测系统》
文章链接:https://www.wevul.com/918.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 1

  1. #1

    学习一哈~

    ASD9个月前 (05-21)回复

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册