BurpSuite2023测试越权漏洞
- BurpSuite安装
- 创建项目 - 打开内置浏览器
- 越权漏洞测试
- 问题处理
BurpSuite安装
- 官网下载社区版并安装,下载地址:链接: https://portswigger.net/burp
安装成功后图标
创建项目 - 打开内置浏览器
- 打开BurpSuite,创建项目:选择
Temporary project–>next–>Start Burp,进入首页;
-
设置浏览器抓包,安装后会默认设置;
-
点击
Proxy,设置intercept is off样式,点击Open browser,打开BurpSuite内置浏览器
越权漏洞测试
- 在内置浏览器中输入需要测试的地址
- 在内置浏览器中登录管理员账号,并操作管理员才有权限的模块,在Proxy模块,HTTP history中会抓包展示对应接口信息;
- 选中对应接口,点击
右键,点击Send to Repeater; - 选中
Repeater,修改Request中的参数,点击Send,即可模拟越权漏洞测试; - 垂直越权,如:A用户查看B用户信息;
- 水平越权,如:普通用户查看管理员信息。
问题处理
- 返回接口内容乱码:设置字体和编码utf-8。
