歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

用BurpSuite實現越權漏洞(IDOR)的自動發現識別

來源:本站整理 作者:佚名 時間:2020-01-31 TAG: 我要投稿

這里分享一個自動化發現IDOR(越權)漏洞的方法,那就是在BurpSuite中利用Autozie和Autorepeater插件實現IDOR漏洞的探測識別,而無需針對每個請求手動去變化參數或請求。
IDOR(越權)漏洞:也稱“不安全的直接對象引用”,場景發生于當用戶對內部資源的訪問請求,或基于用戶提供的輸入對象進行訪問時,服務端未進行合理的權限驗證,導致當前用戶可以未經授權訪問獲取到不屬于自己賬戶權限的資源或數據。
我們可以在BurpSuite的插件庫Bapp中對Autorize 和 Autorepeater進行安裝:

用Autorize發現IDOR漏洞
先來看Autorize,對于客戶端發送的任何請求來說,它會執行一個等效請求,只是其中的Cookies需要是其他用戶的會話Cookie,或是加入其它授權驗證頭,如下我們假設兩個用戶:
用戶A — 管理員
用戶B — 普通用戶
現在,我們用管理員(用戶A)賬戶訪問Web應用,然后在Autorize的請求配置中我們把用戶B的會話Cookie加入,之后,請求將會以用戶B的身份地起。配置如下:

對作用域過濾器中我們稍微做一些設置,以此能直觀地顯示出響應消息,避免收到大量無用結果。接下來,開啟Autorize,對Web應用來說,表面上的訪問客戶端是用戶A,但其實其中用的是用戶B的會話Cookie:

可以看到,在這種情況下,原始長度(Original length)和修正長度(Modified length)之間都沒有任何差異,且響應回來的狀態碼都是200,因此,這樣來看,Web服務端可能存在IDOR漏洞。當然,如果收到的狀態碼是403 Forbidden,那么說明就不存在IDOR漏洞,是不行的。
用Autorepeater發現IDOR漏洞
Autorepeater可以說是復雜版本的Autorize,它可以針對細化參數實現更加準確的測試,如通常涉及到的uuid,、suid、uid等用戶參數。但是,它的設置有些麻煩,比如下面這種uuid的替換測試,需要手動設置:

這種自動化的IDOR探測,在一些云應用中,不僅可針對內部租戶,還能針對跨域租戶進行安全功能審計。比如在下面這里的設置中,我們可以選擇添加替換變量來實現請求主體的變化,另外,還可以對其它參數或請求進行修改,如:
User = Admin
False = True
JSON = XML

Autorize主頁:https://github.com/Quitten/Autorize
AutoRepeater主頁:https://github.com/nccgroup/AutoRepeater
具體應用可參考視頻:
https://www.youtube.com/watch?v=3K1-a7dnA60&t=357s
 

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 浙江20选5预测号码 创利配资 华东15选5预测软件 福建31选7官网 延长化建股票分析 平特肖精准公式 模拟炒股游戏下载 山东十一选五新浪爱彩 排列五走势图综合版 福建快三哪里可以买