使用Burp Suite的Autorize扩展实现自动化IDOR漏洞挖掘
手动测试IDOR和访问控制漏洞既痛苦又低效。想象一下,当你测试一个拥有100多个端点和功能的大型Web应用程序时,你需要为每个端点以用户A身份登录,记录请求,然后以用户B身份登录,重放相同的请求,并仔细比较响应。这变成了一个耗时且容易出错的过程。
这就是Autorize扩展的用武之地。它通过使用第二个会话(通常是低权限或受害者用户)重放每个请求来自动化整个过程。
Autorize的优势
- 节省时间
- 减少人为错误
- 提供访问控制测试的全面覆盖
- 特别适用于角色和数据隔离重要的应用程序
这不仅仅是一个便利工具——对于想要快速行动而不错过关键漏洞的严肃渗透测试人员和漏洞赏金猎人来说,这是必需品。
安装步骤
- 通过Burp Suite的BApp商店安装:
- 转到Extensions → BApp Store
- 搜索"Autorize"
- 点击安装
❗️如果安装按钮显示为灰色,意味着Burp需要配置Jython。
- 点击Download Jython按钮,将重定向到Jython网站
- 点击Jython Standalone JAR,JAR文件将自动下载
- 点击Select file,选择下载的jython-standalone-x.x.x.jar文件
- 返回BApp Store,重新搜索Autorize
- 安装按钮现在应该处于激活状态
安装完成后就大功告成了!
前提条件
- 需要两个有效的用户会话(例如管理员和低权限用户)
- 已安装Autorize扩展
- 测试实验室/目标Web应用程序(例如Juice Shop、DVWA、Buggy Web App)
测试流程
🚀 启动Burp Suite并开始爬取Web应用程序
-
以低权限用户登录:
-
登录低权限用户后,转到Burp Suite → Target标签
-
找到已登录的POST请求,从请求头中复制会话cookie
🍪 配置会话Cookie
- 将会话cookie粘贴到Autorize扩展中"Headers to Replace"部分的高亮框中
🔐 开始测试
- 现在以管理员(或更高权限用户)身份登录
- 转到Burp Suite中的Autorize标签
- 点击"Autorize"按钮——这将使用受害者的令牌重放捕获的请求,检查IDOR或损坏的访问控制
🧭 监控测试过程
现在只需以管理员用户身份浏览应用程序的不同功能——在后台,Autorize会使用受害者的令牌静默监控和重放每个请求,检查未经授权的访问或IDOR漏洞。
分析结果
🚨 关键指标
如果Autorize显示"Bypassed"(红色)——这是可能存在IDOR或访问控制损坏的强烈指示。在将其报告为有效漏洞之前,你现在应该手动验证请求并确认未经授权的访问。
