置信大部分读者跟我一样,每天都在写各种API为Web利用提供数据反对,那么您是否有想过您的API是否足够平安呢?
Web利用的平安是网络安全中不可漠视的要害方面。咱们必须确保其Web利用与后盾通信的平安,以避免数据泄露,因为这可能导致重大的财务损失和名誉受损。
而在Web利用的平安问题中,最常见的破绽之一是不平安的间接对象援用,简称:IDOR。即:当应用程序容许用户拜访他们不应该拜访的资源时,就会产生IDOR破绽。比方:SaaS软件的用户A拜访到了用户B的数据,这样的破绽是灾难性的,因为用户将不再信赖您提供的服务。
那么如何不便、快捷的检测IDOR破绽呢?明天就给大家举荐一个好用的开源工具:IDOR_detect_tool
IDOR_detect_tool的应用简略,只须要上面几个步骤:
- 从 GitHub 存储库下载工具
- 筹备好指标零碎的A、B两账号,依据零碎的鉴权逻辑(Cookie、header、参数等)将A账号信息配置config/config.yml,之后登录B账号
- 应用B账号拜访,脚本会主动替换鉴权信息并重放,依据响应后果判断是否存在越权破绽
- 生成报表,每次有新破绽都会主动增加到report/result.html中,通过浏览器关上
- 点击具体条目能够开展/折叠对应的申请和响应
如果您刚好在做这个内容,无妨看看这个开源我的项目!
开源地址:https://github.com/y1nglamore/IDOR_detect_tool
欢送关注我的公众号:程序猿DD。第一工夫理解前沿行业音讯、分享深度技术干货、获取优质学习资源