你的应用安全吗？开源API越权漏洞检测系统奉上！

时间：2023-03-02 14:33:04 来源：51CTO 作者：码农看看

相信大部分读者跟我一样，每天都在写各种API为Web应用提供数据支持，那么您是否有想过您的API是否足够安全呢？

Web应用的安全是网络安全中不可忽视的关键方面。我们必须确保其Web应用与后台通信的安全，以防止数据泄露，因为这可能导致重大的财务损失和声誉受损。

而在Web应用的安全问题中，最常见的漏洞之一是不安全的直接对象引用，简称：IDOR。即：当应用程序允许用户访问他们不应该访问的资源时，就会发生IDOR漏洞。比如：SaaS软件的用户A访问到了用户B的数据，这样的漏洞是灾难性的，因为用户将不再信任您提供的服务。

那么如何方便、快捷的检测IDOR漏洞呢？今天就给大家推荐一个好用的开源工具：IDOR_detect_tool

开源地址：https://Github.com/y1nglamore/IDOR_detect_tool

使用简单

从 GitHub 存储库下载工具准备好目标系统的A、B两账号，根据系统的鉴权逻辑（Cookie、header、参数等）将A账号信息配置config/config.yml，之后登录B账号

使用B账号访问，脚本会自动替换鉴权信息并重放，根据响应结果判断是否存在越权漏洞

生成报表，每次有新漏洞都会自动添加到report/result.html中，通过浏览器打开

点击具体条目可以展开/折叠对应的请求和响应：

核心检测逻辑

Tags：漏洞检测点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作，风险自担。如有任何标注错误或版权侵犯请与我们联系，我们将及时更正、删除。

▌相关推荐

你的应用安全吗？开源API越权漏洞检测系统奉上！

相信大部分读者跟我一样，每天都在写各种API为Web应用提供数据支持，那么您是否有想过您的API是否足够安全呢？Web应用的安全是网络安全中不可忽视的关键方面。我们必须确保其Web...【详细内容】

2023-03-02　　Search: 漏洞检测点击:(164)　　评论:(0)　　加入收藏

开源漏洞检测/利用工具POC-bomber，可用于渗透和红队快速打点

本项目收集互联网各种危害性大的 RCE · 任意文件上传 · 反序列化 · sql注入等高危害且能够获取到服务器核心权限的漏洞POC/EXP，并集成在 POC bomber...【详细内容】

2022-08-07　　Search: 漏洞检测点击:(963)　　评论:(0)　　加入收藏

渗透测试_漏洞检测的服务步骤流程

渗透测试在网络黑客之前寻找到可造成公司数据泄漏、资损、业务流程被伪造等困境的漏洞，公司可对漏洞开展应急处置、立即修补。防止对公司的业务流程、客户及资产造成影响。　...【详细内容】

2022-01-25　　Search: 漏洞检测点击:(306)　　评论:(0)　　加入收藏

网站漏洞检测关于phpstudy后门的分析与修复

phpStudy于近日被暴露出有后门漏洞，之前的phpStudy2016，phpStudy2018部分版本，EXE程序包疑似被入侵者植入木马后门，导致许多网站及服务器被攻击，被篡改，目前我们SINE安全公司立即...【详细内容】

2019-09-27　　Search: 漏洞检测点击:(646)　　评论:(0)　　加入收藏

网站漏洞检测解析绕过上传漏洞

在日常对客户网站进行渗透测试服务的时候，我们经常遇到客户网站,app存在文件上传功能，程序员在设计开发代码的过程中都会对上传的文件类型，格式，后缀名做安全效验与过滤判断，工程...【详细内容】

2019-09-23　　Search: 漏洞检测点击:(746)　　评论:(0)　　加入收藏

▌简易百科推荐

Opera 漏洞可能让黑客在 Mac 或 Windows 上运行任何文件

网络安全研究人员披露了 Microsoft Windows 和 Apple macOS Opera 网络浏览器中的一个现已修补的安全漏洞，该漏洞可被利用来执行底层操作系统上的任何文件。Guardio Labs研究...【详细内容】

2024-01-19　　科技大人物　　　　Tags:漏洞　点击:(76)　　评论:(0)　　加入收藏

俄黑客组织利用WinRAR漏洞攻击乌克兰

据Securityaffairs网站消息，具有俄罗斯背景的黑客组织UAC-0099正在利用WinRAR中的一个零日漏洞（已修复，编号CVE-2023-38831）对乌克兰传播LONEPAGE恶意软件。实际上，自2022年中旬...【详细内容】

2023-12-27　　区块软件开发　　今日头条　　Tags:漏洞　点击:(149)　　评论:(0)　　加入收藏

一文带你了解数据库层的安全漏洞及其危害性

数据库层的安全漏洞是Web应用程序中最常见且最简单的漏洞之一。这种漏洞的主要原因是程序没有对用户输入的数据进行合法性判断和处理，从而导致攻击者能够在Web应用程序中注入...【详细内容】

2023-12-19　　科技界脑洞　　　　Tags:漏洞　点击:(148)　　评论:(0)　　加入收藏

七个优秀开源免费Web安全漏洞扫描工具

Web安全漏洞扫描技术是一种用于检测Web应用中潜在的漏洞或者安全风险的自动化测试技术。Web安全扫描工具可以模拟黑客行为，检测常见的漏洞，例如：Sql注入、XSS、文件上传、目录...【详细内容】

2023-11-17　　andflow　　微信公众号　　Tags:安全漏洞　点击:(226)　　评论:(0)　　加入收藏

2023年TOP 5 Kubernetes漏洞

译者 | 晶颜审校 | 重楼Kubernetes是一个流行的开源平台，用于管理容器化的工作负载和服务。它是一个简化了大量部署、扩展和操作任务的系统，但它并非没有风险。就像任何其他软...【详细内容】

2023-11-15　　　　51CTO　　Tags:漏洞　点击:(311)　　评论:(0)　　加入收藏

SysAid IT 曝出零日漏洞，需尽快安装补丁

根据微软的最新发现，以传播 Clop 勒索软件而闻名的 Lace Tempest 黑客组织，近日利用 SysAid IT 支持软件的零日漏洞实施了攻击。该黑客组织曾经还利用 MOVEit Transfer 和 Pap...【详细内容】

2023-11-10　　沐雨花飞蝶　　微信公众号　　Tags:SysAid 　点击:(247)　　评论:(0)　　加入收藏

常见Windows远程漏洞信息整理

通过漏洞扫描，发现漏洞，更新补丁，增强内网安全防御能力。1.常见windows提权漏洞（1）MS08-067 Windows服务漏洞漏洞描述：该漏洞影响Windows Server 2000、Windows XP和Windows 2003...【详细内容】

2023-11-07　　小兵搞安全　　微信公众号　　Tags:漏洞　点击:(274)　　评论:(0)　　加入收藏

报告称微软 Skype 移动应用存在严重漏洞，可轻易泄露用户 IP 地址

IT之家 8 月 29 日消息，据 404Media.co 报道，微软的 Skype 移动应用存在一个严重的漏洞，可能导致黑客通过发送一个链接就能检测到用户的 IP 地址。该漏洞只需利用 Skype 的文本...【详细内容】

2023-08-29　　　　IT之家　　Tags:漏洞　点击:(150)　　评论:(0)　　加入收藏

可绕过苹果三重防护机制，专家发现 macOS 新漏洞

IT之家 8 月 15 日消息，近期在拉斯维加斯举行的 Defcon 黑客大会上，安全研究员帕特里克・沃德尔（Patrick Wardle）展示了 macOS 新漏洞，可以绕过苹果设置的三重防护机制，窃取设备敏...【详细内容】

2023-08-15　　　　IT之家　　Tags:漏洞　点击:(211)　　评论:(0)　　加入收藏

两个新漏洞可能影响 40% 的 Ubuntu 云工作负载

云安全公司 Wiz 的研究人员在 Ubuntu 的 OverlayFS 模块中发现了两个易于利用的权限提升漏洞，影响了 40% 的 Ubuntu 云工作负载。OverlayFS 是一种联合文件系统，允许一个文件...【详细内容】

2023-07-28　　　　云安全公司 Wiz 的研究人员在 Ubuntu 的 OverlayFS 模块中发现了两个易于利用的权限提升漏洞，影响了　　Tags:漏洞　点击:(226)　　评论:(0)　　加入收藏

推荐资讯

新增融券再启动暂停键	16个Redis常见使用场
一篇文章教会你使用Py	聊聊Rust里面的数据类
C++中的外部模板及其	一篇文章带你了解Pyth
网络安全行业的春天何	Linux获取Redis 性能

站内最新

栏目相关

· Opera 漏洞可能让黑客在 Mac 或 Windows 上运行任何文件

· 俄黑客组织利用WinRAR漏洞攻击乌克兰

· 一文带你了解数据库层的安全漏洞及其危害性

· 七个优秀开源免费Web安全漏洞扫描工具

· 2023年TOP 5 Kubernetes漏洞

· SysAid IT 曝出零日漏洞，需尽快安装补丁

· 常见Windows远程漏洞信息整理

· 报告称微软 Skype 移动应用存在严重漏洞，可轻易泄露用户 IP 地址

· 可绕过苹果三重防护机制，专家发现 macOS 新漏洞

· 两个新漏洞可能影响 40% 的 Ubuntu 云工作负载

· 2023史诗级漏洞后门曝光！存在长达几十年，美国或用于监听全球

· 黑客正利用发起攻击，VMware 敦促用户安装补丁修复vRealize漏洞

· 可泄露主密码，密码管理工具 KeePass 被曝安全漏洞

· Django SQL注入漏洞 CVE-2022-28347

· DedeCMS组合漏洞分析

· 必不可少的插件漏洞暴露了一百万WordPress网站

· 记一次springboot项目漏洞挖掘

· 美国CISA最新收录三大漏洞，涉及谷歌和ChatGPT！

· WiFi协议曝出漏洞，攻击者可以轻松劫持网络流量

· OpenAI：ChatGPT支付数据泄露系开源库漏洞

站内热门