相信大部分读者跟我一样,每天都在写各种API为Web应用提供数据支持,那么您是否有想过您的API是否足够安全呢?
Web应用的安全是网络安全中不可忽视的关键方面 。我们必须确保其Web应用与后台通信的安全,以防止数据泄露,因为这可能导致重大的财务损失和声誉受损 。
而在Web应用的安全问题中,最常见的漏洞之一是不安全的直接对象引用,简称:IDOR 。即:当应用程序允许用户访问他们不应该访问的资源时,就会发生IDOR漏洞 。比如:SaaS软件的用户A访问到了用户B的数据,这样的漏洞是灾难性的,因为用户将不再信任您提供的服务 。
那么如何方便、快捷的检测IDOR漏洞呢?今天就给大家推荐一个好用的开源工具:IDOR_detect_tool
开源地址:https://github.com/y1nglamore/IDOR_detect_tool
使用简单
从 GitHub 存储库下载工具 准备好目标系统的A、B两账号,根据系统的鉴权逻辑(Cookie、header、参数等)将A账号信息配置config/config.yml,之后登录B账号
文章插图
使用B账号访问,脚本会自动替换鉴权信息并重放,根据响应结果判断是否存在越权漏洞
文章插图
生成报表,每次有新漏洞都会自动添加到report/result.html中,通过浏览器打开
文章插图
点击具体条目可以展开/折叠对应的请求和响应:
文章插图
【你的应用安全吗?开源API越权漏洞检测系统奉上!】核心检测逻辑
文章插图
推荐阅读
- 如何以及为什么衡量网络安全
- 林正英灵堂 林正英逝世
- 怎么进安全模式电脑win10 怎么进安全模式
- 测测你的逻辑思维水平 抽象思维能力
- 烫发|落肩烫,可以修饰你的脸型让你变得精致,可以突出你的吸引力
- 毕业论文课题任务书 毕业论文任务书
- 2019年终奖个税申报 财政部回应个税
- win7进入安全模式
- 关于父爱的现代诗歌简短 关于父爱的诗歌
- 智能仓储 自动化仓储设备