這篇文章給大家介紹如何用BurpSuite實(shí)現(xiàn)越權(quán)漏洞IDOR的自動發(fā)現(xiàn)識別，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

成都創(chuàng)新互聯(lián)主要從事成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)勐海,10年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):13518219792

下面分享一個(gè)自動化發(fā)現(xiàn)IDOR（越權(quán)）漏洞的方法，那就是在BurpSuite中利用Autozie和Autorepeater插件實(shí)現(xiàn)IDOR漏洞的探測識別，而無需針對每個(gè)請求手動去變化參數(shù)或請求。

IDOR（越權(quán)）漏洞：也稱“不安全的直接對象引用”，場景發(fā)生于當(dāng)用戶對內(nèi)部資源的訪問請求，或基于用戶提供的輸入對象進(jìn)行訪問時(shí)，服務(wù)端未進(jìn)行合理的權(quán)限驗(yàn)證，導(dǎo)致當(dāng)前用戶可以未經(jīng)授權(quán)訪問獲取到不屬于自己賬戶權(quán)限的資源或數(shù)據(jù)。

我們可以在BurpSuite的插件庫Bapp中對Autorize 和 Autorepeater進(jìn)行安裝：

用Autorize發(fā)現(xiàn)IDOR漏洞

先來看Autorize，對于客戶端發(fā)送的任何請求來說，它會執(zhí)行一個(gè)等效請求，只是其中的Cookies需要是其他用戶的會話Cookie，或是加入其它授權(quán)驗(yàn)證頭，如下我們假設(shè)兩個(gè)用戶：

用戶A — 管理員

用戶B — 普通用戶

現(xiàn)在，我們用管理員（用戶A）賬戶訪問Web應(yīng)用，然后在Autorize的請求配置中我們把用戶B的會話Cookie加入，之后，請求將會以用戶B的身份地起。配置如下：

對作用域過濾器中我們稍微做一些設(shè)置，以此能直觀地顯示出響應(yīng)消息，避免收到大量無用結(jié)果。接下來，開啟Autorize，對Web應(yīng)用來說，表面上的訪問客戶端是用戶A，但其實(shí)其中用的是用戶B的會話Cookie：

可以看到，在這種情況下，原始長度（Original length）和修正長度（Modified length）之間都沒有任何差異，且響應(yīng)回來的狀態(tài)碼都是200，因此，這樣來看，Web服務(wù)端可能存在IDOR漏洞。當(dāng)然，如果收到的狀態(tài)碼是403 Forbidden，那么說明就不存在IDOR漏洞，是不行的。

用Autorepeater發(fā)現(xiàn)IDOR漏洞

Autorepeater可以說是復(fù)雜版本的Autorize，它可以針對細(xì)化參數(shù)實(shí)現(xiàn)更加準(zhǔn)確的測試，如通常涉及到的uuid,、suid、uid等用戶參數(shù)。但是，它的設(shè)置有些麻煩，比如下面這種uuid的替換測試，需要手動設(shè)置：

這種自動化的IDOR探測，在一些云應(yīng)用中，不僅可針對內(nèi)部租戶，還能針對跨域租戶進(jìn)行安全功能審計(jì)。比如在下面這里的設(shè)置中，我們可以選擇添加替換變量來實(shí)現(xiàn)請求主體的變化，另外，還可以對其它參數(shù)或請求進(jìn)行修改，如：

User = Admin

False = True

JSON = XML

關(guān)于如何用BurpSuite實(shí)現(xiàn)越權(quán)漏洞IDOR的自動發(fā)現(xiàn)識別就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。