最近护网行动又双叒叕来了,每次排查横向越权问题就跟玩扫雷似的。上周刚被红队用普通用户权限扒出后台管理接口,甲方爸爸的脸色那叫一个难看...(猛灌一口咖啡)。
不知道你们有没有遇到过这种场景:明明配了RBAC权限控制,但总有漏网之鱼的API接口。我之前手动测到眼冒金星,每个角色都要单独构造请求头,改cookie改到想砸键盘。直到在Github挖到个叫Authz0的开源神器,算是把这种机械劳动自动化了。
举个真实案例吧,上次给某电商平台做授权加固。他们有个奇葩需求:运营账号不能访问订单删除接口,但需要能查看用户画像。传统渗透测试工具只能验证单账号权限,Authz0的模板机制就特别香——把URL路径规则和角色权限写成yaml配置文件,一套模板能批量验证20多个角色的访问控制策略。
这工具对历史流量处理挺有意思的,支持ZAP/Burp记录转模板。有时候直接拿生产环境的HAR文件生成测试用例,比人工梳理接口快得多。不过注意别把真实Token带进测试环境啊,别问我怎么知道的...
想要获取工具的小伙伴可以直接拉至文章末尾
我们来提取并讨论上述工具描述中涉及的网络安全关键技术点:
-
Authz0可根据URL和角色与凭证自动识别未经授权的访问,能生成扫描模板并基于多个身份验证标头和cookie进行测试,这体现了自动化测试技术,减少人工操作的工作量和错误率。
-
将URL和角色作为基于YAML的模板管理,可以轻松修改扫描模板中的角色、URL,还能通过多种方式创建模板,这种模板管理技术有助于提高测试效率和准确性。
-
可包含ZAP历史记录、Burp历史记录、HAR文件等多源数据,利用这些不同来源的数据进行授权测试,体现了多源数据集成技术,使测试更全面。
-
支持macOS/Windows/Linux和Docker、Github操作,这种多平台支持技术方便不同环境下的用户使用该工具进行网络安全检测。
-
提供多种可用命令如completion、help、new、scan等,以命令行的方式操作工具,这是一种高效、便捷的操作技术,方便技术人员进行灵活的网络安全检测操作。
下载链接
https://github.com/hahwul/authz0
原文始发于微信公众号(白帽学子):自动化授权测试工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论