开源API越权漏洞检测系统推荐:IDOR_detect_tool
- - 程序猿DD相信大部分读者跟我一样,每天都在写各种API为Web应用提供数据支持,那么您是否有想过您的API是否足够安全呢. Web应用的安全是网络安全中不可忽视的关键方面. 我们必须确保其Web应用与后台通信的安全,以防止数据泄露,因为这可能导致重大的财务损失和声誉受损. 而在Web应用的安全问题中,最常见的漏洞之一是不安全的直接对象引用,简称:IDOR.
开源API越权漏洞检测系统推荐:IDOR_detect_tool
标签:
开源推荐
开源
| 发表时间:2023-03-03 01:19 | 作者:
出处:https://blog.didispace.com/
相信大部分读者跟我一样,每天都在写各种API为Web应用提供数据支持,那么您是否有想过您的API是否足够安全呢?
Web应用的安全是网络安全中不可忽视的关键方面。我们必须确保其Web应用与后台通信的安全,以防止数据泄露,因为这可能导致重大的财务损失和声誉受损。
而在Web应用的安全问题中,最常见的漏洞之一是不安全的直接对象引用,简称:IDOR。即:当应用程序允许用户访问他们不应该访问的资源时,就会发生IDOR漏洞。比如:SaaS软件的用户A访问到了用户B的数据,这样的漏洞是灾难性的,因为用户将不再信任您提供的服务。
那么如何方便、快捷的检测IDOR漏洞呢?今天就给大家推荐一个好用的开源工具:IDOR_detect_tool
使用简单
- 从 GitHub 存储库下载工具
- 准备好目标系统的A、B两账号,根据系统的鉴权逻辑(Cookie、header、参数等)将A账号信息配置config/config.yml,之后登录B账号
- 使用B账号访问,脚本会自动替换鉴权信息并重放,根据响应结果判断是否存在越权漏洞
- 生成报表,每次有新漏洞都会自动添加到report/result.html中,通过浏览器打开
- 点击具体条目可以展开/折叠对应的请求和响应
如果您刚好在做这个内容,不妨看看这个开源项目!
开源地址: https://github.com/y1nglamore/IDOR_detect_tool
欢迎扫描下方二维码,关注公众号:TJ君,订阅每日推荐,获取更多好用效率工具!
相关 [开源 api 漏洞] 推荐:
Filer.js:简化HTML5文件系统API开发的开源JS库
- - HTML5研究小组在 W3C 的工作草案中,有一个雄心勃勃的底层 Web 标准开发计划即 HTML5 文件系统(Firesystem)API 规范. 所谓 Filesystm API 是一个提供在用户自定义的沙盒文件系统中读取与写入文件及目录的接口. 不过正如文件系统一样,该 API 代码较长而且复杂. 为此 Google Chorme 团队的工程师 Eric Bidelman 写了一个基于它的 JavaScript 包装库,Bidlelman 将其命名为 filer.js 并放在了 GitHub 上.
开源API网关Kong基本介绍和安装验证(201129)
- - 人月神话的BLOG今天准备介绍下开源API网关Kong,在Gtihub搜索API网关类的开源产品,可以看到Kong网关常年都是排第一的位置,而且当前很多都有一定研发能力的企业在API网关产品选型的时候基本也会选择Kong网关,并基于Kong网关进行二次开发和定制. 简单来说API网关就是将所有的微服务提供的API接口服务能力全部汇聚进来,统一接入进行管理,也正是通过统一拦截,就可以通过网关实现对API接口的安全,日志,限流熔断等共性需求.
Api Blocking
- - xiaobaoqiu Blog4.RateLimiter实现限流. 接口限流是保证系统稳定性的三大法宝之一(缓存, 限流, 降级).. 本文使用三种方式实现Api限流, 并提供了一个用Spring实现的Api限流的简单Demo, Demo的git地址: https://github.com/xiaobaoqiu/api-blocking.
Metasploit Framework 4.0发布,开源的安全漏洞检测工具
- Tairan Wang - ITeye资讯频道Metasploit是一款开源的安全漏洞检测工具,由于是免费的,因此常被安全工作人员用来检测系统的安全性. Metasploit Framework (MSF)是2003 年以开放源代码方式发布、可自由获取的开发框架,这个环境为渗透测试、shellcode 编写和漏洞研究提供了一个可靠的平台. 这个框架主要是由Ruby编写的,并带有一些C语言和汇编语言组件.
Google出品:开源Web App漏洞测试环境 – Firing Range
- - FreeBuf.COM | 关注黑客与极客Google于周二发布了一个名为Firing Range的安全漏洞测试环境,旨在通过评估Web应用在XSS和其他方面的安全性,提高自动化扫描器的效率. Firing Range是由Google与米兰理工大学的安全研究员合作开发的,目的是为自动化扫描器建造一个“试验场”. Google公司自己也在使用Firing Range,目的“一是帮助我们测试,二是定义尽可能多的漏洞类型,包括一些我们目前尚且不能检测的”.
开源web漏洞扫描系统 – IronWASP 2014版发布
- - FreeBuf.COMIronWASP是一款开源的Web应用程序漏洞扫描系统,用户可以自定义安全扫描,并且可以自己用python/ruby来定义插件系统,来丰富漏洞测试项目,插件系统的语言版本是IronPython和IronRuby,语法上类似CPython和CRuby. 在2014版本中,加入了众多实用的功能,如下:.
微服务五种开源API网关实现组件对比_Kubernetes中文社区
- -微服务架构是当下比较流行的一种架构风格,它是一种以业务功能组织的服务集合,可以持续交付、快速部署、更好的可扩展性和容错能力,而且还使组织更容易去尝试新技术栈. 现在很多公司企业想将自己的单体应用架构迁移到微服务架构,在这个问题上,Martin Fowler提出了3个前提,而Phil Calcado对其进行了扩展如下:.
股票API
- 狗尾草 - 博客园-首页原创精华区股票数据的获取目前有如下两种方法可以获取:. http/javascript接口取数据. 1.http/javascript接口取数据. 以大秦铁路(股票代码:601006)为例,如果要获取它的最新行情,只需访问新浪的股票数据. 这个url会返回一串文本,例如:. var hq_str_sh601006="大秦铁路, 27.55, 27.25, 26.91, 27.55, 26.20, 26.91, 26.92, .
API 与 ABI
- Ant - A Geek's Page(本文亦是《C语言编程艺术》中的一部分,所以请勿用于商业用途. 一些程序员居然对API和ABI这两个概念都不清楚,我感到有些惊讶. 这里以 Linux 内核为例简单解释一下. API,顾名思义,是编程的接口,换句话说也就是你编写“应用程序”时候调用的函数之类的东西. 对于内核来说,它的“应用程序”有两种:一种是在它之上的,用户空间的真正的应用程序,内核给它们提供的是系统调用这种接口,比如 read(2),write(2);另一种就是内核模块了,它们和内核处于同一层,内核给它们提供的是导出的内核函数,比如 kmalloc(),printk().