越权检测神器Authz的隐藏技巧:90%测试员不知道的Cookie替换妙用
越权检测神器Authz的隐藏技巧:90%测试员不知道的Cookie替换妙用
在Web安全测试领域,越权漏洞一直是业务逻辑缺陷中的高频问题。传统的手动检测方法不仅效率低下,在多账户切换、动态凭证等复杂场景下更容易出现遗漏。BurpSuite的Authz插件虽然被广泛使用,但大多数测试人员仅停留在基础功能层面,未能充分挖掘其深度检测潜力。
本文将聚焦Authz在复杂业务场景下的高阶应用,特别是Cookie替换技术的创新用法。不同于常规教程,我们会深入探讨如何通过动态凭证处理、多账户协同测试等技巧,显著提升越权检测的覆盖率和准确度。这些方法特别适合电商、金融等存在复杂权限体系的业务系统。
1. Authz核心机制深度解析
Authz插件的工作原理本质上是通过替换HTTP请求中的身份凭证(如Cookie、Authorization头等),对比不同凭证下的响应差异来判断越权风险。但实际操作中,90%的测试人员只使用了最简单的静态Cookie替换,忽略了动态凭证场景下的检测可能性。
1.1 凭证替换的底层逻辑
当Authz修改请求头时,实际上完成了三个关键操作:
- 保留原始请求的URL和参数
- 替换身份认证相关的HTTP头
- 保持其他头部信息不变
这种设计带来一个独特优势:可以完全隔离权限验证和业务逻辑测试。测试人员可以专注于构造各种业务场景的请求,而无需反复登录不同账户。
1.2 响应比对算法揭秘
Authz通过以下维度判断越权可能性:
| 比对维度 | 匹配情况 | 越权可能性 |
|---|---|---|
| 状态码 | 完全相同 | 高 |
| 响应长度 | 差异<5% | 中 |
| 关键字段 | 包含相同敏感数据 | 高 |
提示:默认的长度比对阈值可能不适合某些API接口,建议在插件设置中调整敏感度参数。
2. 多账户协同测试实战技巧
传统测试方法需要手动切换多个账户,而Authz可以同时管理多组凭证,实现自动化并行检测。以下是具体实施步骤:
准备测试账户池:
- 创建至少3个不同权限等级的测试账户
- 确保账户能覆盖所有目标业务场景
凭证采集与管理:
# 使用Burp的Logger模块捕获各账户的认证流量 grep 'Set-Cookie' burp_log.txt | awk '{print $2}' > cookies.txt- 配置Authz多凭证组:
- 为每个业务场景创建独立的Header模板
- 使用
${file:cookies.txt}语法动态加载凭证
3. 动态凭证处理方案
现代Web应用常采用动态Token、JWT等时效性凭证,这对传统测试方法提出了挑战。通过以下技巧可以突破限制:
3.1 实时Token更新机制
结合Burp Macros实现自动化凭证刷新:
- 配置一个获取新Token的请求作为Macro
- 在Authz中设置
@TokenRefresh@占位符 - 绑定Macro到Session处理规则
3.2 JWT解析与篡改
对于JWT认证的系统,可以先解码再修改:
import jwt # 解码原始Token payload = jwt.decode(original_token, verify=False) # 修改用户ID等关键字段 payload['user_id'] = 'victim_id' # 生成新Token new_token = jwt.encode(payload, 'secret', algorithm='HS256')4. 复杂业务场景检测策略
不同业务系统需要定制化的检测方案。以下是几种典型场景的应对方法:
4.1 电商订单系统检测
重点关注以下接口:
/api/order/{order_id}/api/user/orders/api/payment/details
检测矩阵示例:
| 测试账户 | 卖家 | 买家A | 买家B |
|---|---|---|---|
| 卖家 | 合法 | 越权 | 越权 |
| 买家A | 拒绝 | 合法 | 越权 |
| 买家B | 拒绝 | 越权 | 合法 |
4.2 社交网络关系检测
特殊关注:
- 好友关系API的ID参数处理
- 私密内容访问控制
- 个人资料可见性设置
建议检测模式:
- 采集20+用户的关联ID
- 使用Authz批量测试关系链API
- 检查非关联用户的访问权限
在实际项目中,我发现最有效的检测策略是结合Authz的批量测试和手动验证。特别是在处理GraphQL接口时,需要特别注意嵌套查询中的权限控制点。一个实用的技巧是将常用越权检测请求保存为Burp Suite的Scan Templates,可以大幅提升复测效率。