• 0
  • 0
分享

  随着信息化技术的不断发展,软件安全成了软件行业的重大挑战,因此安全测试也成为了测试人员必备的技能之一。沐沐在安全测试过程中较为常见的就是接口越权漏洞,在尝试过多种工具进行越权漏洞测试后,最终找到了个人认为最便捷最有效率的方式,即使用Burp Suite工具的Auth Analyzer插件进行接口越权批量测试;并且将接口越权测试作为常态化测试内容,不断提升软件安全测试的深度和广度。下文将对接口越权和Burpsuite工具进行简介,重点说明Auth Analyzer插件进行接口越权批量测试的步骤。

  一、接口越权

  越权访问(Broken Access Control,简称 BAC)是 Web 应用程序中一种常见的漏洞,由于其存在范围广、危害大,被 OWASP 列为 Web 应用十大安全隐患的第二名。该漏洞是指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定,一旦权限验证不充分,就易致越权漏洞。越权漏洞分类为以下三种:

  · 未授权访问:是指本来没有账号(即没有某个功能权限),但是通过越权操作,获取了某个功能权限;

  · 水平越权:是指本来有个账号(即只能操作自己的数据,比如增删改查),但是通过越权操作,能操作其他同等权限账号的数据;

  · 垂直越权:是指本来有个账号只有较低的权限,但是通过越权操作,获取了更高的权限。

  二、Burpsuite工具

  Burp Suite是一款常用的集成化渗透测试工具,提供了仪表盘(Dashboard)、站点目标(Target)、代理(Proxy)、暴力破解(Intruder)、请求修改重发(Repeater)、随机数分析(Sequencer)、编码格式转换(Decoder)等多个模块的功能。我们可以使用Repeater模块进行接口修改,手工验证单个接口是否存在越权,但是这样效率较低,因此我们推荐使用Auth Analyzer插件进行接口越权批量测试。

  (Burpsuite工具官方下载地址:https://portswigger.net/burp/releases)

  三、下载Auth Analyzer插件

  1.在Extensions->BApp Store里面下载Auth Analyzer插件,如下截图所示:

1-10.png

  2.插件下载成功后,Burpsuite会进行显示,如下截图所示:

1-2.png

  四、进行越权测试

  1.在Proxy->Intercept模块下,将【Intercept is on】按钮切换成【Intercept is off】,即在开始抓包后不会进行拦截,如下截图所示:

1-3.png

  2.打开内置浏览器,如下截图所示:

1-4.png

  3.在内置浏览器用高权限用户访问系统进行操作,抓包的接口信息如下截图所示:

1-5.png

  4.在内置浏览器用高权限用户访问系统进行操作,抓包的接口信息如下截图所示:

1-6.png

  5.选中要进行越权测试的接口,鼠标右键弹窗显示Auth Analyzer插件,进行Repeat all requests操作,如下截图所示:

1-7.png

  6.切换到Auth Analyzer模块查看接口越权分析结果,如下截图所示:

1-8.png

  7.点击导出接口批量越权分析的结果,如下截图所示:

1-9.png

  8.导出报告如下截图所示:

1-11.png

  接口越权漏洞修复后,再重复以上步骤复测即可。希望这篇文章对大家有所帮助,提升接口越权测试的粒度和效率。


作者:瑾沐沐    

来源:http://www.51testing.com/html/80/n-7798580.html

  • 【留下美好印记】
    赞赏支持
登录 后发表评论
+ 关注

热门文章

    最新讲堂

      • 推荐阅读
      • 换一换
          •   小鹏汽车宣布与澳大利亚企业 TrueEV 建立合作伙伴关系,后者将成为小鹏汽车在澳大利亚的唯一进口商、分销商和零售商,将小鹏汽车引入澳大利亚市场。  据介绍,TrueEV 将于今年第四季度在当地首次推出轿跑 SUV 车型小鹏 G6。作为扩张海外市场的一部分,小鹏汽车近期还宣布登陆亚太地区其他国家(泰国、新加坡、马来西亚等市场)。  TrueEV 首席执行官 Jason Clarke 表示,自己相信小鹏汽车的产品序列和设计特点都“非常适合”澳洲市场,此次合作也标志着当地智能电动汽车系列产品迎来“重大飞跃”,并将提供卓越的充电技术与配套功能提供支持。  综合IT之家此前报道,小鹏汽车上个月陆续...
            0 0 584
            分享
          • 1、按严重程度分类:是指bug对软件质量的破坏程度,即此bug的存在将对软件的功能和性能产生什么样的影响。崩溃(Blocker):系统无法正常运行。阻碍开发或测试工作的问题;造成系统崩溃、死机、死循环、导致数据库数据丢失,与数据库连接错误,主要功能丧失,基本模块缺失等问题。如:代码错误、死循环、数据库发生死锁、重要的一级菜单功能不能使用等(该问题在测试中较少出现,一旦出现应立即中止当前版本测试)。严重(Critical):很明显的错误性的bug。系统主要功能部分丧失、数据库保存调用错误、用户数据丢失,一级功能菜单不能使用但是不影响其他功能的测试。功能设计与需求严重不符模块无法启动或调用,程序重...
            14 13 3740
            分享
          •   备受推崇的主机和 VR 游戏开发商 Ready at Dawn 将立即关闭。据Android Central报道,该开发商的母公司 Meta 今天做出了这一决定。根据报道,Meta 公司的一位发言人表示,做出这一决定是为了让公司的 Reality Labs 能够保持在新设定的预算范围内。  该发言人补充说,受影响的团队成员仍可申请 Reality Labs 的空缺职位,但目前还不清楚有多少人受到了影响。  Ready at Dawn 于 2003 年在加利福尼亚州尔湾市首次推出。该公司的首批游戏是为索尼的PlayStation Portable 游戏机制作的,包括《达斯特》(《Jax &a...
            0 0 515
            分享
          •   根据美国商标和专利局(USPTO)公示的最新清单,苹果近日获得了一项新的可折叠手机专利,最大的亮点是让折痕区域自愈。  根据专利描述,苹果计划通过外部施加的热、光、电流或其他类型的外部刺激,来实现折痕的自我修复。  IT之家附相关草图如下,苹果构想的未来设备配有一个铰链,允许设备通过铰链进行折叠。而在铰链部分的屏幕采用柔性屏幕覆盖层,可以插入在显示器覆盖层的第一刚性和第二刚性部分之间。  苹果表示电子设备的显示覆盖层可能会被划伤或凹陷。为了改善电子设备的美观性,可能需要降低划痕和凹痕的存在感,于是在屏幕覆盖层中引入一层自愈材料。  自愈材料层可以在整个显示器覆盖层上形成,也可以仅在显示器覆...
            0 0 982
            分享
          •   对于Bug跟踪分析这块,从我个人这几年的工作经验来看,大部分测试人员一般关注的都是从新建到关闭的这条工作流程。  至于跟踪过程中和开发人员沟通过程中会遇到各种各样的问题,至于这些问题有没有一个可通用的模板。  亦或者Bug关闭后有没有进行有效的分析,是什么原因导致的,对于后续测试过程有没有什么参考价值?  后面我提到的问题,工作2-3年的测试人好像极少有考虑到的,如果每次对Bug都进行及时有效的分析,我相信对于个人成长会有很大的帮助。  Bug跟踪的一般流程  这里叙述一下正常我们Bug跟踪的流程都有哪些步骤:新建->修改/非Bug->验证->关闭/打回。  新建:提交问...
            0 0 993
            分享
      • 51testing软件测试圈微信