相信大部分讀者跟我一樣,每天都在寫各種API為Web應用提供資料支持,那么您是否有想過您的API是否足夠安全呢?
Web應用的安全是網路安全中不可忽視的關鍵方面,我們必須確保其Web應用與后臺通信的安全,以防止資料泄露,因為這可能導致重大的財務損失和聲譽受損,
而在Web應用的安全問題中,最常見的漏洞之一是不安全的直接物件參考,簡稱:IDOR,即:當應用程式允許用戶訪問他們不應該訪問的資源時,就會發生IDOR漏洞,比如:SaaS軟體的用戶A訪問到了用戶B的資料,這樣的漏洞是災難性的,因為用戶將不再信任您提供的服務,
那么如何方便、快捷的檢測IDOR漏洞呢?今天就給大家推薦一個好用的開源工具:IDOR_detect_tool
IDOR_detect_tool的使用簡單,只需要下面幾個步驟:
- 從 GitHub 存盤庫下載工具
- 準備好目標系統的A、B兩賬號,根據系統的鑒權邏輯(Cookie、header、引數等)將A賬號資訊配置config/config.yml,之后登錄B賬號
- 使用B賬號訪問,腳本會自動替換鑒權資訊并重放,根據回應結果判斷是否存在越權漏洞
- 生成報表,每次有新漏洞都會自動添加到report/result.html中,通過瀏覽器打開
- 點擊具體條目可以展開/折疊對應的請求和回應
如果您剛好在做這個內容,不妨看看這個開源專案!
開源地址:https://github.com/y1nglamore/IDOR_detect_tool
歡迎關注我的公眾號:程式猿DD,第一時間了解前沿行業訊息、分享深度技術干貨、獲取優質學習資源
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/546159.html
標籤:Java
上一篇:Spring Boot + MybatisX = 王炸!!
下一篇:多執行緒匯出word