iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 23
0
Security

Web滲透測試 - Burp Suite 完整教學系列 第 23

利用 Autorize 測試角色權限區分與IDOR漏洞

  • 分享至 

  • xImage
  •  

今天也是有夠累了,來偏稍微短一點的文章了XD
介紹一個可以測試角色權限與IDOR漏洞的 Extension。
(IDOR也就是不安全的直接物件參考,
可以參考 https://portswigger.net/web-security/access-control/idor)

在滲透測試時,若是有身分認證的測試過程,
通常都是會進行水平與垂直權限的測試,
當然實際上會測試的內容與細節項目,
都會與手邊實際上有的帳戶的數量與權限有所差異,
譬如我有兩個一般使用者的帳戶,
或是我有一個一般使用者、一個管理員的帳戶,
這兩種的情況測試方法就是會有所差異。

不過角色跨權限的測試這件事情,
的確是滲透測試當中頗重要的一件事情,
因為通常網站弱點掃描工具是無法發現這類型的風險。

如果純手工的情況下,
可能的測試方法會是直接開啟兩個不同的瀏覽器,
登入不同的帳戶進行測試,
當然這樣沒有工具輔助,相較也會稍微吃力一點點。

今天介紹的Extension,就是能夠輔助我們測試這類型漏洞的好幫手~
Autorize 是一個測試權限問題的Extension,
可以在Autorize不同的權限的帳戶去進行每個請求分別發送不同帳戶權限請求。

譬如,你可以在Autorize當中設定一個低權限帳號的session cookie,
然後使用高權限的帳號去瀏覽所有功能,
接著 Autorize 會自動用剛設定的低權限session cookie 重放請求,
也可以選擇發送不帶 cookie 的請求。

https://ithelp.ithome.com.tw/upload/images/20201008/20114110JPvlMDwZJh.png

https://ithelp.ithome.com.tw/upload/images/20201008/20114110rlE7Js598L.png

https://ithelp.ithome.com.tw/upload/images/20201008/20114110arUxwUec9p.png

https://ithelp.ithome.com.tw/upload/images/20201008/20114110CM51hhJEwP.png

關於這項工具的更多詳細介紹與操作說明,
可以參考它們的Github喔~
https://github.com/portswigger/autorize


上一篇
Find comments 當個乖寶寶好好寫註解,我看你是沒有遇過壞人
下一篇
記住了,在網路的世界裡只有IP是真實的。
系列文
Web滲透測試 - Burp Suite 完整教學30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言