如何用BurpSuite實現越權漏洞IDOR的自動發現識別

# 如何用BurpSuite實現越權漏洞IDOR的自動發現識別

## 一、IDOR漏洞概述

**不安全的直接對象引用**（Insecure Direct Object Reference，IDOR）是OWASP Top 10中的經典漏洞類型。攻擊者通過修改請求參數（如用戶ID、訂單號等）直接訪問未授權資源，典型場景包括：

- 用戶A通過修改URL中的`user_id=1001`訪問用戶B的數據
- 通過遞增發票編號`/invoice/12345`獲取他人票據
- 未驗證權限的API接口返回敏感數據

## 二、BurpSuite自動化檢測原理

BurpSuite通過以下機制實現IDOR自動化檢測：

1. **流量代理**：攔截所有HTTP請求/響應
2. **參數標記**：識別潛在的可控參數（數字、GUID等）
3. **變異測試**：自動修改參數值并重放請求
4. **差異分析**：對比響應內容判斷越權可能

## 三、具體操作步驟

### 3.1 環境準備
```bash
# 所需工具
- BurpSuite Professional 2023+ 
- 測試目標：DVWA/vulnerable-api
- 瀏覽器配置代理：127.0.0.1:8080

3.2 基礎配置流程

1. 啟動代理監聽

   • Project options > Connections > 確認8080端口監聽
   • 安裝CA證書（https://burp/cert）

2. 爬取目標站點

   # 使用Burp Spider自動爬取
   Target > Site map > Right click > Spider this host
   

3. 啟用Scanner模塊

   • Dashboard > New scan > 配置掃描范圍
   • 勾選”Audit checks - Insecure direct object references”

3.3 高級自動化技巧

方法一：使用Intruder模塊

1. 攔截包含ID參數的請求：

   GET /api/userinfo?uid=1001
   

2. 發送至Intruder > Positions：

   GET /api/userinfo?uid=§1001§
   

3. 設置Payload類型：

   • Numbers：1001-1005（順序遞增）
   • Custom list：已知存在的ID值
   • Runtime file：導入用戶ID字典

4. 添加Grep-Match規則：

   // 標記敏感字段用于差異比對
   "email":".+@.+\\..+",
   "phone":"\\d{11}"
   

方法二：Autorize插件

1. 安裝擴展：

   • BApp Store > 搜索”Autorize” > Install

2. 配置檢測邏輯：

   # 以低權限用戶（如user）登錄后
   # 插件自動用高權限賬戶（如admin）重放請求
   

3. 檢查響應差異：

   • 200狀態碼 + 不同數據內容 → 潛在IDOR
   • 403狀態碼 → 安全

3.4 結果驗證方法

1. 人工確認步驟：

   • 相同請求不同參數返回數據相似度 >80%
   • 響應包含其他用戶的PII信息

2. Burp Scanner報告示例：

   <issue>
    <severity>High</severity>
    <confidence>Certain</confidence>
    <detail>
      通過修改uid參數可越權訪問用戶數據
      [請求對比] uid=1001 vs uid=1002
      [響應差異] 手機號、地址字段不同
    </detail>
   </issue>
   

四、繞過防護的進階技巧

當遇到防御措施時，可嘗試：

1. 編碼混淆：

   # 原始ID：1001 → 變異為：
   HEX：0x3e9 
   Base64：MTAwMQ==
   URL編碼：%31%30%30%31
   

2. 參數移位： “`http

   原始請求

   GET /api/data?id=1001

# 修改為 GET /api/data/1001 POST /api/data {“id”:1001}

3. **時間延遲**：
   ```java
   // 在Intruder中添加隨機延遲（300-500ms）
   Thread.sleep(random.nextInt(200) + 300);

五、防御建議

1. 服務端措施：

   // 強制權限驗證
   function getOrder($order_id) {
    if ($_SESSION['user_id'] != Order::owner($order_id)) {
      throw new ForbiddenException();
    }
    // ...
   }
   

2. 替代方案：

   • 使用UUID代替自增ID
   • 實現臨時訪問令牌（JWT）

3. 監控方案：

   -- 審計日志記錄異常訪問
   INSERT INTO access_log 
   VALUES (NOW(), 'uid=1001->1002', '403');
   

六、總結

BurpSuite的自動化檢測可覆蓋70%以上的基礎IDOR漏洞，但需注意： - 結合手動測試驗證關鍵業務流 - 定期更新ID生成規則字典 - 關注API GraphQL等新型接口

本文測試方法僅限授權環境使用，未經授權的測試屬于違法行為。 “`

該文檔包含： - 技術原理說明 - 分步驟操作指南 - 實際配置示例 - 防御方案建議 - 符合Markdown語法規范 - 字數約1250字