置信大部分读者跟我一样,每天都在写各种 API 为 Web 利用提供数据反对,那么您是否有想过您的 API 是否足够平安呢?
Web 利用的平安是网络安全中不可漠视的要害方面。咱们必须确保其 Web 利用与后盾通信的平安,以避免数据泄露,因为这可能导致重大的财务损失和名誉受损。
而在 Web 利用的平安问题中,最常见的破绽之一是不平安的间接对象援用,简称:IDOR。即:当应用程序容许用户拜访他们不应该拜访的资源时,就会产生 IDOR 破绽。比方:SaaS 软件的用户 A 拜访到了用户 B 的数据,这样的破绽是灾难性的,因为用户将不再信赖您提供的服务。
那么如何不便、快捷的检测 IDOR 破绽呢?明天就给大家举荐一个好用的开源工具:IDOR_detect_tool
IDOR_detect_tool 的应用简略,只须要上面几个步骤:
- 从 GitHub 存储库下载工具
- 筹备好指标零碎的 A、B 两账号,依据零碎的鉴权逻辑(Cookie、header、参数等)将 A 账号信息配置 config/config.yml,之后登录 B 账号
- 应用 B 账号拜访,脚本会主动替换鉴权信息并重放,依据响应后果判断是否存在越权破绽
- 生成报表,每次有新破绽都会主动增加到 report/result.html 中,通过浏览器关上
- 点击具体条目能够开展 / 折叠对应的申请和响应
如果您刚好在做这个内容,无妨看看这个开源我的项目!
开源地址:https://github.com/y1nglamore/IDOR_detect_tool
欢送关注我的公众号:程序猿 DD。第一工夫理解前沿行业音讯、分享深度技术干货、获取优质学习资源