相信大部分讀者跟我一樣，每天都在寫各種API為Web應(yīng)用提供數(shù)據(jù)支持，那么您是否有想過您的API是否足夠安全呢？

Web應(yīng)用的安全是網(wǎng)絡(luò)安全中不可忽視的關(guān)鍵方面。我們必須確保其Web應(yīng)用與后臺(tái)通信的安全，以防止數(shù)據(jù)泄露，因?yàn)檫@可能導(dǎo)致重大的財(cái)務(wù)損失和聲譽(yù)受損。

而在Web應(yīng)用的安全問題中，最常見的漏洞之一是不安全的直接對象引用，簡稱：IDOR。即：當(dāng)應(yīng)用程序允許用戶訪問他們不應(yīng)該訪問的資源時(shí)，就會(huì)發(fā)生IDOR漏洞。比如：SaaS軟件的用戶A訪問到了用戶B的數(shù)據(jù)，這樣的漏洞是災(zāi)難性的，因?yàn)橛脩魧⒉辉傩湃文峁┑姆?wù)。

那么如何方便、快捷的檢測IDOR漏洞呢？今天就給大家推薦一個(gè)好用的開源工具：IDOR_detect_tool

開源地址：https://github.com/y1nglamore/IDOR_detect_tool

使用簡單

• 從 GitHub 存儲(chǔ)庫下載工具
• 準(zhǔn)備好目標(biāo)系統(tǒng)的A、B兩賬號(hào)，根據(jù)系統(tǒng)的鑒權(quán)邏輯（Cookie、header、參數(shù)等）將A賬號(hào)信息配置config/config.yml，之后登錄B賬號(hào)

• 使用B賬號(hào)訪問，腳本會(huì)自動(dòng)替換鑒權(quán)信息并重放，根據(jù)響應(yīng)結(jié)果判斷是否存在越權(quán)漏洞

• 生成報(bào)表，每次有新漏洞都會(huì)自動(dòng)添加到report/result.html中，通過瀏覽器打開

• 點(diǎn)擊具體條目可以展開/折疊對應(yīng)的請求和響應(yīng)：

核心檢測邏輯