相信大部分讀者跟我一樣,每天都在寫各種API為Web應用提供資料支援,那麼您是否有想過您的API是否足夠安全呢?
Web應用的安全是網路安全中不可忽視的關鍵方面。我們必須確保其Web應用與後臺通訊的安全,以防止資料洩露,因為這可能導致重大的財務損失和聲譽受損。
而在Web應用的安全問題中,最常見的漏洞之一是不安全的直接物件引用,簡稱:IDOR。即:當應用程式允許使用者訪問他們不應該訪問的資源時,就會發生IDOR漏洞。比如:SaaS軟體的使用者A訪問到了使用者B的資料,這樣的漏洞是災難性的,因為使用者將不再信任您提供的服務。
那麼如何方便、快捷的檢測IDOR漏洞呢?今天就給大家推薦一個好用的開源工具:IDOR_detect_tool
IDOR_detect_tool的使用簡單,只需要下面幾個步驟:
- 從 GitHub 儲存庫下載工具
- 準備好目標系統的A、B兩賬號,根據系統的鑑權邏輯(Cookie、header、引數等)將A賬號資訊配置config/config.yml,之後登入B賬號
- 使用B賬號訪問,指令碼會自動替換鑑權資訊並重放,根據響應結果判斷是否存在越權漏洞
- 生成報表,每次有新漏洞都會自動新增到report/result.html中,透過瀏覽器開啟
- 點選具體條目可以展開/摺疊對應的請求和響應
如果您剛好在做這個內容,不妨看看這個開源專案!
開源地址:https://github.com/y1nglamore/IDOR_detect_tool
歡迎關注我的公眾號:程式猿DD。第一時間瞭解前沿行業訊息、分享深度技術乾貨、獲取優質學習資源