相信大部分读者和我一样,每天都在编写各种API为Web应用提供数据支持,那么你有没有想过自己的API是否足够安全?Web应用安全是网络安全中不可忽视的一个关键方面。我们必须保护他们的Web应用程序和后端通信,以防止数据泄露,这可能导致重大的财务损失和声誉损害。在Web应用的安全问题中,最常见的漏洞之一就是不安全的直接对象引用,简称IDOR。即:当应用程序允许用户访问他们不应访问的资源时,就会出现IDOR漏洞。例如:SaaS软件的用户A访问了用户B的数据,这样的漏洞是灾难性的,因为用户将不再信任你提供的服务。那么如何方便快捷地检测IDOR漏洞呢?今天给大家推荐一款好用的开源工具:IDOR_detect_toolIDOR_detect_tool简单易用,只需要以下几步:从GitHub仓库下载该工具,准备好目标系统的A、B账号,根据身份验证系统逻辑(Cookie、header、参数等)在config/config.yml中配置A账号信息,然后登录B账号,使用B账号访问。脚本会自动替换认证信息并重放。根据响应结果,判断是否存在未授权漏洞,生成报告。每次有新的Vulnerabilities都会自动添加到report/result.html中,你可以通过浏览器点击具体的item来展开/折叠相应的request和response。如果你正好在做这些内容,不妨看看这个开源项目!开源地址:https://github.com/y1nglamore/IDOR_detect_tool欢迎来到我的公众号:程序员DD。第一时间了解行业前沿资讯,分享深度技术干货,获取优质学习资源
