【Burp入门第三十二篇】Autorize插件安装使用教程+越权实战案例

已于 2024-05-24 14:49:07 修改
阅读量4.3k 收藏 3
点赞数 3
CC 4.0 BY-SA版权
分类专栏: BurpSuite入门教程(附实战图文) 文章标签: BurpSuite 渗透工具 Autorize
于 2024-04-18 15:10:42 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/137901901
本文介绍了Burp Suite的Autorize插件的安装与使用,详细讲解了如何通过该插件检测垂直越权漏洞。通过实例展示了如何设置和利用插件,以普通用户Cookie模拟管理员权限,成功执行了创建用户等管理员操作,从而验证了垂直越权的存在。

Burp Suite是一款功能强大的渗透测试工具,被广泛应用于Web应用程序的安全测试和漏洞挖掘中。
本专栏将结合实操及具体案例,带领读者入门、掌握这款漏洞挖掘利器
读者可订阅专栏:【Burp由入门到精通 |优快云秋说】

在这里插入图片描述

文章目录

前言

Autorize是一个旨在帮助渗透测试人员检测授权漏洞的扩展。

将低权限用户的cookie提供给扩展程序并使用高权限用户浏览网站,该扩展会自动重复每一个请求与低权限用户的会话并检测授权漏洞;

除了授权漏洞之外,还可以在没有任何cookie的情况下重复每一个请求,以检测身份验证漏洞;

报告的执行状态如下:
绕过!-红色
强制执行!-绿色
强制执行???(请配置强制检测器) -黄色

安装教程

Autorize插件在Bapp商店下载:

在这里插入图片描述

由于Autorize插件的配置环境是Jython,因此需要在Burp安装Jython环境,再从BApp Store 安装 Autorize。

下载地址:

https://www.jython.org/download.htm

选择该版本:

在这里插入图片描述

下载好后,在Burp中选择导入该文件:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Burp入门第十三篇】使用BurpSuite实现垂直越权+升级用户实战案例
等风来
04-06 3568
越权方法:使用低权限会话cookie替换高权限请求包中的cookie。案例场景:拥有高权限账户密码。将该请求包发送至重放器。
Burp入门第三十七篇】AutoRepeater插件安装使用教程+越权实战案例
等风来
03-04 1645
AutoRepeater 通过接收满足特定条件的请求,按照预设的基础替换规则对请求进行处理。在接收到匹配请求后,它首先应用基础替换,然后针对每个定义的替换创建请求副本并应用该替换操作,从而实现对不同参数的修改和请求的重复发送,以此来全面检测 Web 应用的授权情况。1、自动化请求重复:能自动复制、修改并重发 HTTP 请求,避免了手动重复操作的繁琐,大大提高了 Web 应用授权测试的效率。2、灵活参数替换:可灵活改变邮箱地址、账号身份、角色、URL 和 CSRF 令牌等关键参数。
BurpSutie拓展插件推荐-辅助测试插件
Boom!脑洞大爆炸的博客
07-04 2584
BurpSutie拓展插件推荐-辅助测试插件
使用Burp Suite的Autorize扩展实现自动化IDOR漏洞挖掘
最新发布
分享技术点滴
11-03 649
手动测试IDOR和访问控制漏洞既痛苦又低效。想象一下,当你测试一个拥有100多个端点和功能的大型Web应用程序时,你需要为每个端点以用户A身份登录,记录请求,然后以用户B身份登录,重放相同的请求,并仔细比较响应。这变成了一个耗时且容易出错的过程。这就是Autorize扩展的用武之地。它通过使用第二个会话(通常是低权限或受害者用户)重放每个请求来自动化整个过程。
Autorize:由Barak Tawily开发的Jython编写的burp套件的自动授权执行检测扩展,旨在减轻应用程序安全人员的工作并允许他们执行自动授权测试
04-29
自动化 AutorizeBurp Suite的自动授权执行检测扩展。 它是由应用程序安全专家Barak Tawily用Python编写的。 Autorize旨在通过执行自动授权测试来帮助安全测试人员。 从现在的最新版本开始,Autorize还将执行自动身份验证测试。 安装 下载Burp Suite(显然): : 下载Jython独立JAR: : 打开打p->扩展器->选项-> Python环境->选择文件->选择Jython独立JAR 从BApp Store安装Autorize或执行以下步骤: 下载Autorize.py文件。 打开Burp-> Extender->扩展名-> Add->选择Autorize.py文件。 查看自动标签,享受自动授权检测:) 用户指南-如何使用安装后,“自动”选项卡将添加到Burp。 打开配置选项卡(自动->配置)。 获取您的低特
越权检测 burp插件 autorize 使用
热门推荐
weixin_45596492的博客
04-08 1万+
官方描述 Autorize 是一个旨在帮助渗透测试人员检测授权漏洞的扩展,这是 Web 应用程序渗透测试中比较耗时的任务之一。 将低权限用户的 cookie 提供给扩展程序并使用高权限用户浏览网站就足够了。该扩展会自动重复每个请求与低权限用户的会话并检测授权漏洞。 除了授权漏洞之外,还可以在没有任何 cookie 的情况下重复每个请求,以检测身份验证漏洞。 该插件无需任何配置即可工作,但也是高度可定制的,允许配置授权执行条件的粒度以及插件必须测试哪些请求,哪些不需要。可以保存插件的状态并以 HTML
越权漏洞与autorize插件使用
ve9etable的博客
10-21 8039
本文将对越权漏洞进行简单介绍,然后使用BurpSuite展示检测越权漏洞的方法,最后使用BurpSuiteautorize插件半自动化大批量的检测网站受否存在越权漏洞。 零、越权漏洞介绍 越权访问说白了就是你干了不该你干的事,看了不该你看的东西。大的方向上可以分为水平越权和垂直越权。 水平越权就好像Lisa和Jessica都是某购物网站的忠实用户,她们每天都会购买大量没有用的东西,但是有一天Lisa没有经过任何认证就看到了Jessica的购买历史记录,然后出现了一个大问题…… 垂直越权就相当于To
【SRC挖掘】越权漏洞——burp插件被动检测越权漏洞,一个插件让挖洞效率翻倍!Autorize
m0_62783065的博客
09-05 1576
【SRC挖掘】越权漏洞——burp插件被动检测越权漏洞,一个插件让挖洞效率翻倍!Autorize
Burpsuite插件之logger++使用方法1
08-03
用户需要确保Burpsuite支持加载第三方插件,并按照官方或开发者提供的指南正确配置。 ### Logger++使用方法 #### 正常启动代理 使用Logger++时,用户只需像平时一样开启Burpsuite代理,无需进行特殊设置,Logger++...
使用2023版BurpSuite半自动化Autorize进行垂直越权测试【图文教程
Welcome KrityCat Honey
04-24 2634
本人在使用BurpSuite v2023.12时,查阅网上资料,发现网上大多是旧版,而旧版跟新版在界面上有些许调整。故记录BurpSuite v2023.12使用教程,用于后续本人回顾。
Burpsuiteautorize插件安装;response中文乱码设置语言
cuoluoche的博客
06-12 442
乱码、插件安装
burpsuite 越权_BurpSuite中的安全测试插件推荐
weixin_32059007的博客
01-14 1718
转载:http://www.mottoin.com/90188.html0x00 前言Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。无论是收费版还是免费版,Burp Suite 这个软件都提供了一定数量的插...
批量越权未授权测试(Burpsuite Autorize插件
菜鸟学安全的博客
06-25 5676
由于安全设备的发展,常规漏洞难以挖掘,的挖掘重要性与日俱增。在测试越权和未授权的时候人工对单一接口测试耗时耗力,。减少漏测。burp 插件Autoriz插件批量越权和未授权测试。
burp插件分享1
m0_55772907的博客
10-25 5152
burpsuite插件
【Error】Burpsuit使用过程中无法安装Autorize插件的复合问题
weixin_46020258的博客
12-23 1万+
使用Burpsuit过程中很容易遇到这样那样的问题,比如在测试web过程中如果在个人设置中未配置请求端口等参数很容易导致proxy无法抓包,也有在测试app时设置代理后无法访问网络的问题。今天聊一下无法下载插件的问题。 因为工作中频繁使用Autorize插件所以深得其中三味,食髓知味的情况下感觉如果没有这个插件那么测试就会缺少很多灵魂显得笨重。工作之余在自己电脑安装burpsuit,发现一般的插件如:Authz、XSS Valdator等下载起来很容易并在工具对应显示正确,但是自己通过BApp St.
如何安装插件BurpSuite AuthMatrix插件
EdisonJH的博客
05-22 2855
BurpSuite AuthMatrix插件安装 Burp Suite BApp Store安装 AuthMatrix可以通过Burp Suite BApp Store安装。在BurpSuite中,选择Extender选项卡,选择BApp Store,选择AuthMatrix,然后单击install。 使用前准备 burp可以使用三种语言编写的扩展插件,java、python和ruby ,除了java外,其他两种需要的扩展插件需要配置运行环境。 python 下载 下载地址:http://www.jytho
探索自动化安全测试新高度——Autorize
gitblog_00074的博客
05-17 856
探索自动化安全测试新高度——Autorize 去发现同类优质开源项目:https://gitcode.com/ 项目简介 Autorize,一个由安全专家Barak Tawily创建的Burp Suite扩展工具,旨在帮助安全测试者进行自动化的权限验证测试。不仅如此,最新版本还增加了自动认证测试功能,使得安全评估更加全面和高效。 技术分析 Autorize基于Python语言开发,可无缝集成到J...
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 5348
需要高版本 17 +burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
MAC版BurpSuite2022安装教程及字典与插件集成
1. 插件功能:Burp Suite的扩展插件系统允许用户通过插件来增强Burp Suite的功能,这些插件可以是官方提供的,也可以是第三方开发的。 2. 安装插件:由于本资源中包含扩展插件环境,用户能够安装Burp Suite插件商店...
评论 4
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值