[Burp Suite 完整教學] 利用 Autorize 測試角色權限區分與IDOR漏洞

今天也是有夠累了,來偏稍微短一點的文章了XD
介紹一個可以測試角色權限與IDOR漏洞的 Extension。
(IDOR也就是不安全的直接物件參考,
可以參考 https://portswigger.net/web-security/access-control/idor)

在滲透測試時,若是有身分認證的測試過程,
通常都是會進行水平與垂直權限的測試,
當然實際上會測試的內容與細節項目,
都會與手邊實際上有的帳戶的數量與權限有所差異,
譬如我有兩個一般使用者的帳戶,
或是我有一個一般使用者、一個管理員的帳戶,
這兩種的情況測試方法就是會有所差異。

不過角色跨權限的測試這件事情,
的確是滲透測試當中頗重要的一件事情,
因為通常網站弱點掃描工具是無法發現這類型的風險。

如果純手工的情況下,
可能的測試方法會是直接開啟兩個不同的瀏覽器,
登入不同的帳戶進行測試,
當然這樣沒有工具輔助,相較也會稍微吃力一點點。

今天介紹的Extension,就是能夠輔助我們測試這類型漏洞的好幫手~
Autorize 是一個測試權限問題的Extension,
可以在Autorize不同的權限的帳戶去進行每個請求分別發送不同帳戶權限請求。

譬如,你可以在Autorize當中設定一個低權限帳號的session cookie,
然後使用高權限的帳號去瀏覽所有功能,
接著 Autorize 會自動用剛設定的低權限session cookie 重放請求,
也可以選擇發送不帶 cookie 的請求。

關於這項工具的更多詳細介紹與操作說明,
可以參考它們的Github喔~
https://github.com/portswigger/autorize

本系列的文章為作者參與第 12 屆 iT 邦幫忙鐵人賽的文章修改
原文連結
 https://ithelp.ithome.com.tw/users/20114110/ironman/3806

This Post Has One Comment

發佈留言