01
工具介绍
一个好用的越权扫描工具。
为什么要开发越权扫描工具?
-
传统扫描工具的局限性:IAST 和 DAST 等安全产品主要解决 OWASP Top 10 中的传统安全漏洞,如 SQL 注入、XSS、RCE 等。这些漏洞具有规则化特征,易于通过扫描器检测。然而,越权漏洞本质上属于“逻辑”漏洞。由于逻辑漏洞涉及复杂的业务逻辑和流程,传统扫描器难以捕获。例如,一个功能从需求提出、评审到研发、测试、上线的过程中,每个人对其理解都可能不同。即使是研发团队,在短时间内也可能忘记某个功能的具体实现细节。因此,指望一个没有“智慧”大脑的扫描器理解并发现这些漏洞是不现实的,有时功能本身可能就是一个逻辑错误(类似于伪需求)。
-
越权漏洞的高发性与高危害:在成熟的互联网企业中,统一的公共服务、标准的研发规范、成熟的自动化流水线,以及逐渐步入内生安全的代码框架,使得传统的 Web 应用安全漏洞越来越少。然而,越权漏洞因研发忘记对某个参数进行逻辑或归属校验而发生的几率依然很高,且造成的危害可能极大。
越权漏洞自动化检测难、易发生且危害严重,但我们仍可以尽力自动化检测一部分越权漏洞。
Web界面展示
02
工具下载
https://github.com/Ed1s0nZ/InfiltrateX
文章来源:夜组安全
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容