相信大部分讀者跟我一樣,每天都在寫各種API為Web應用提供數據支持,那么您是否有想過您的API是否足夠安全呢?
Web應用的安全是網絡安全中不可忽視的關鍵方面。我們必須確保其Web應用與后臺通信的安全,以防止數據泄露,因為這可能導致重大的財務損失和聲譽受損。
而在Web應用的安全問題中,最常見的漏洞之一是不安全的直接對象引用,簡稱:IDOR。即:當應用程序允許用戶訪問他們不應該訪問的資源時,就會發生IDOR漏洞。比如:SaaS軟件的用戶A訪問到了用戶B的數據,這樣的漏洞是災難性的,因為用戶將不再信任您提供的服務。
那么如何方便、快捷的檢測IDOR漏洞呢?今天就給大家推薦一個好用的開源工具:IDOR_detect_tool
開源地址:https://github.com/y1nglamore/IDOR_detect_tool
使用簡單
從 GitHub 存儲庫下載工具 準備好目標系統的A、B兩賬號,根據系統的鑒權邏輯(Cookie、header、參數等)將A賬號信息配置config/config.yml,之后登錄B賬號
核心檢測邏輯
