DEV Community
·
使用 Burp Suite 中的 Auth Analyzer 进行授权测试
💡
原文英文,约1100词,阅读约需4分钟。
📝
内容提要
Auth Analyzer是Burp Suite的扩展,帮助安全测试人员评估Web应用程序的授权机制。它自动化了检查访问控制漏洞的过程,并允许测试人员定义多个用户角色。该扩展可以轻松安装,并可与OWASP Juice Shop一起使用作为示例。它分析使用不同cookie发送的请求,并显示响应是否相同、相似或不同。测试人员可以使用Auth Analyzer来检查未经身份验证的用户的授权。
🎯
关键要点
- Auth Analyzer是Burp Suite的扩展,帮助安全测试人员评估Web应用程序的授权机制。
- 该扩展自动化检查访问控制漏洞的过程,支持定义多个用户角色。
- 安装Auth Analyzer扩展非常简单,可以通过Burp Suite的BApp Store进行安装。
- 使用OWASP Juice Shop作为示例,创建两个不同的用户会话进行测试。
- 在Auth Analyzer中设置会话后,可以使用不同的cookie发送请求,分析响应是否相同、相似或不同。
- 如果响应为相同,表示两个会话可以看到相同的响应,可能存在授权问题。
- Auth Analyzer还可以用于检查未经身份验证的用户的授权,通过创建新会话并留空Cookie头部进行测试。
🏷️
标签
➡️
