大横幅1
大横幅2
到期时间:永久 到期时间:推广
小横幅3 小横幅4
  1. 当前位置:网站首页 > 实用工具

一款API水平越权漏洞检测工具


功能

通过替换认证信息后重放请求,并对比数据包结果,判断接口是否存在越权漏洞

特点

1. 支持HTTPS2. 自动过滤图片/js/css/html页面等静态内容3. 多线程检测,避免阻塞4. 支持输出报表与完整的URL、请求、响应

安装和使用

安装依赖

  •  
python3 -m pip install -r requirements.txt
启动
python3 start.py

即可监听socks5://127.0.0.1:8889。安装证书使用SwitchOmega等插件连接该代理,并访问mitm.it即可进入证书安装页面,根据操作系统进行证书安装。以MacOS为例:

一款API水平越权漏洞检测工具

下载安装后,打开钥匙串访问,找到mitmproxy证书,修改为alwaystrust

一款API水平越权漏洞检测工具

检测漏洞
首先准备好目标系统的A、B两账号,根据系统的鉴权逻辑(Cookie、header、参数等)将A账号信息配置config/config.yml,之后登录B账号

一款API水平越权漏洞检测工具

使用B账号访问,脚本会自动替换鉴权信息并重放,根据响应结果判断是否存在越权漏洞

一款API水平越权漏洞检测工具

生成报表
每次有新漏洞都会自动添加到report/result.html中,通过浏览器打开:

一款API水平越权漏洞检测工具

点击具体条目可以展开/折叠对应的请求和响应:一款API水平越权漏洞检测工具下载地址:
https://github.com/y1nglamore/IDOR_detect_tool


本文最后更新于2023-2-28,已超过 3个月没有更新,如果文章内容或图片资源失效,请留言反馈,我们会及时处理,谢谢!
获取更多资讯请加入交流群

    协助本站SEO优化一下,谢谢!
    关键词不能为空
版权说明

本文地址:http://www.kirinbk.cn/post-960.html
免责声明:本站文章仅用于科普及教育用途,远离犯罪!

发表评论

联系我们

在线咨询:点击这里给我发消息

QQ交流群:KirinBlog

工作日:8:00-23:00,节假日休息

扫码关注