功能
通过替换认证信息后重放请求,并对比数据包结果,判断接口是否存在越权漏洞
特点
2. 自动过滤图片/js/css/html页面等静态内容安装和使用
安装依赖
python3 -m pip install -r requirements.txt
即可监听socks5://127.0.0.1:8889。使用SwitchOmega等插件连接该代理,并访问mitm.it即可进入证书安装页面,根据操作系统进行证书安装。
下载安装后,打开钥匙串访问,找到mitmproxy证书,修改为alwaystrust
首先准备好目标系统的A、B两账号,根据系统的鉴权逻辑(Cookie、header、参数等)将A账号信息配置config/config.yml,之后登录B账号
使用B账号访问,脚本会自动替换鉴权信息并重放,根据响应结果判断是否存在越权漏洞
每次有新漏洞都会自动添加到report/result.html中,通过浏览器打开:
https://github.com/y1nglamore/IDOR_detect_tool作者:y1nglamore
原文地址:https://github.com/y1nglamore/IDOR_detect_tool
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
多一个点在看多一条小鱼干