首页 > 其他分享 >开源API越权漏洞检测系统推荐:IDOR_detect_tool

开源API越权漏洞检测系统推荐:IDOR_detect_tool

时间:2023-03-08 10:13:41浏览次数:50  
标签:IDOR Web detect tool 漏洞 开源 API

相信大部分读者跟我一样,每天都在写各种API为Web应用提供数据支持,那么您是否有想过您的API是否足够安全呢?

Web应用的安全是网络安全中不可忽视的关键方面。我们必须确保其Web应用与后台通信的安全,以防止数据泄露,因为这可能导致重大的财务损失和声誉受损。

图 1

而在Web应用的安全问题中,最常见的漏洞之一是不安全的直接对象引用,简称:IDOR。即:当应用程序允许用户访问他们不应该访问的资源时,就会发生IDOR漏洞。比如:SaaS软件的用户A访问到了用户B的数据,这样的漏洞是灾难性的,因为用户将不再信任您提供的服务。

那么如何方便、快捷的检测IDOR漏洞呢?今天就给大家推荐一个好用的开源工具:IDOR_detect_tool

IDOR_detect_tool的使用简单,只需要下面几个步骤:

  • 从 GitHub 存储库下载工具
  • 准备好目标系统的A、B两账号,根据系统的鉴权逻辑(Cookie、header、参数等)将A账号信息配置config/config.yml,之后登录B账号
  • 使用B账号访问,脚本会自动替换鉴权信息并重放,根据响应结果判断是否存在越权漏洞
  • 生成报表,每次有新漏洞都会自动添加到report/result.html中,通过浏览器打开
  • 点击具体条目可以展开/折叠对应的请求和响应

如果您刚好在做这个内容,不妨看看这个开源项目!

开源地址:https://github.com/y1nglamore/IDOR_detect_tool

欢迎关注我的公众号:程序猿DD。第一时间了解前沿行业消息、分享深度技术干货、获取优质学习资源

标签:IDOR,Web,detect,tool,漏洞,开源,API
From: https://www.cnblogs.com/didispace/p/17190998.html

相关文章

  • vue2与vue3不同点:opitons api 与cmposition api
    vue2:optionsapi采用的是命令式编程,而vue3组合式api采用的是函数式编程,两者存在很大的差异,vue3更灵活,难度也更大。script语法糖,vue3可以通过导入函数的方式来定义响应......
  • FastAPI - Get
    fromfastapiimportFastAPIimportuvicornapp=FastAPI()#默认接口文档http://127.0.0.1:8000/[email protected]("/")defindex():  '''这是首页'''  return"this......
  • FastAPI -Post
    fromfastapiimportFastAPIimportuvicornapp=FastAPI()#仅支持[email protected]("/login1")deflogin():  return{"msg:loginsuccess1"}#支持POST,GET,[email protected]......
  • FastAPI - Parameter
    fromfastapiimportFastAPIimportuvicornapp=FastAPI()#访问方式:http://127.0.0.1:8000/[email protected]("/user")defuser(id):       #id为接......
  • Luffy项目:5、腾讯云短信封装,luffy项目登录注册后端逻辑API接口编写,前端页面及Vue编写
    目录Luffy项目一、腾讯云短信开发1、封装发送短信二、登录/注册后端逻辑API编写1、发送短信验证码接口2、短信登录接口2、1.视图类2、2.序列化类3、短信注册接口3、1.路......
  • api接口使用MD5加密加盐签名校验
    最近一个A系统需要向B系统推送数据,因为数据每天不一定有多少,有时候多有时候少,且由UGC生成,需要B系统做一些处理,用mq比较麻烦,且公司用的付费rocketmq。除了重要数据一般不使......
  • DeviceMotionEvent API All In One
    DeviceMotionEventAPIAllInOne设备运动事件/设备动作事件https://caniuse.com/?search=DeviceMotionEventWarning:Currently,FirefoxandChromedonothan......
  • 【APIO2015】Palembang Bridges
    容易想到先排除不用过桥的再把过桥的1加上,剩下只需要考虑河边走的距离。首先考虑k=1的情况,容易发现相当于是一个直线上2n个点选一个点到所有点距离和最小,经典的结论选在中......
  • 【APIO2015】Bali Sculptures
    发现不是很好dp,考虑从大到小枚举位转而判断能不能让这一位为0。设计dp状态:\(dp[i][j]\)表示前i个分了j组是否能满足当前条件,显然有一个\(O(n^3logA)\)的简单dp。判断是否满......
  • 【APIO2015】Jakarta Skyscrapers
    很容易的想到根号分治,我们先考虑暴力做法。用dp[i][j]表示从开始状态到第i个点有一个跳跃能力为j的doge的最少跳跃次数,暴力也是O(n^2)的。我们考虑稍微优化优化。考虑根......