接口越权扫描平台初探
一、背景介绍 在网上,大家经常可以看到诸如数据库被拖库、用户信息泄露等因为安全漏洞引发的问题,给用户和公司都造成了较大的损失。随着公司业务快速发展、功能增多、用户数目不断增加,安全问题越来越成为一个必须重视的问题。 在实践安全测试的过程中,业务部门和安全部门合作去进行安全测试,早期测试人员和安全同学通过手工执行安全测试用例来发现问题,后续慢慢的也开始使用一些安全工具,通过自动化的方式来提高发现问题的效率。在这过程中,我们关注到了一个跟业务密切相关的安全问题——接口越权问题,并设法通过自动化扫描的方式发现该类问题,提高效率。 越权问题是指应用对访问请求的权限检查存在纰漏,使得攻击者在使用没有获得权限的用户账户后,利用一些方式绕过权限检查,访问或者操作其他用户或者更高权限者的对象。比如商家…
Read More