IDOR_detect_tool【API越权漏洞检测工具】

原创 白帽学子 白帽学子 2025-05-20 00:11

在各类安全行动里，对各类漏洞的检测就变得特别关键，尤其是 API 水平越权漏洞，这类漏洞要是被利用了，攻击者就能越权访问一些敏感数据，后果很严重。

我最近发现了一款超实用的开源网络安全工具，正好能解决 API 水平越权漏洞检测的问题。它的检测逻辑特别细致，能把很多干扰因素都排除掉。比如说，它会进行流量清洗，把静态资源和非 json 响应的请求过滤掉，还会清洗公共接口，像那些无需参数就能访问的 GET 请求，像

/api/getCurrentTime

这种，因为不需要鉴权，也就不存在越权问题，都能被过滤掉。同时，它还有长度卡点，判断响应长度是否大于 100，把一些空接口去除，还会进行相似度检查，用 Levenshtein 距离计算相似度，相似度大于 87% 就认为是相同的响应，对于响应长度小于 100 的请求还会进行关键词检查，看看是否包含“成功”“完成”等关键词。

安装和使用也挺简单的。安装依赖的话，在命令行输入

python3 -m pip install -r requirements.txt
python3 start.py
socket://127.0.0.1:8889

安装证书的话，用 SwitchOmega 等插件连接该代理，然后访问
mitm.it，
就能进入证书安装页面，根据自己的操作系统进行证书安装。我用的是 MacOS，下载安装后，打开钥匙串访问，找到 mitmproxy 证书，把它修改为
always trust。

检测漏洞的时候，先准备好目标系统的 A、B 两账号，根据系统的鉴权逻辑，像 Cookie、header、参数这些，把 A 账号信息配置到 
config/config.yml 
里，之后登录 B 账号进行访问，脚本会自动替换鉴权信息并重放请求，然后根据响应结果判断是否存在越权漏洞。而且它还能自动生成报表，每次有新漏洞都会自动添加到
report/result.html。

想要获取工具的小伙伴可以直接拉至文章末尾

我们来提取并讨论上述工具描述中涉及的网络安全关键技术点：

1、
访问控制与身份认证技术
：
– 在护网行动或红蓝对抗中，身份验证往往是攻防第一道防线。工具中提到的「鉴权信息替换重放」逻辑，本质上是对RBAC（基于角色的访问控制）机制的检验。例如无线网络中通过MAC地址过滤、Portal认证结合短信验证码等方式，可有效防止非法设备接入。在API安全场景中，需特别注意Cookie/Header参数的动态令牌校验，避免会话固定攻击。

2、
数据加密与传输防护技术
：
– 无论是无线网络的WPA2-AES加密，还是工具中的HTTPS代理证书强制校验，数据加密始终是核心防御手段。关键点在于：动态密钥管理（如TKIP协议）应对重放攻击、敏感接口的响应数据脱敏（如金融系统中隐藏部分字段而非返回完整JSON结构）。值得注意的是，工具通过响应长度与关键词的联合校验，实际上是在对抗加密不完整导致的半结构化数据泄露。

3、
异常行为检测与溯源技术
：
– 工具中采用Levenshtein距离的相似度比对，属于典型的基线建模检测。在重保场景下，需要结合网络流量分析（如NetFlow日志）与终端行为日志，实现多维度异常关联。例如通过IP信誉库匹配、DNS隐蔽信道特征识别，可快速定位APT攻击链。溯源方面，无线网络取证中常用射频指纹分析定位物理入侵点。

4、

网络隔离与边界防护技术

：
– 从搜索结果看，防火墙的双家网关部署仍是隔离关键业务的有效方案。在新型攻防中，建议采用微分段技术：将API网关、鉴权服务、业务逻辑层划分独立安全域，结合工具中「公共接口清洗」策略，可大幅降低横向渗透风险。无线网络需特别防范Evil Twin攻击，通过802.1x认证与非法AP主动探测相结合。

5、
安全态势感知与知识图谱技术
：
– 知识图谱在威胁情报关联分析中表现突出，如将漏洞库、攻击模式、资产信息进行实体关系建模。工具生成的HTML可视化报告，可视为小型态势感知系统的雏形。在大型攻防演练中，需要整合NTA、EDR等多源数据，通过图计算识别隐蔽攻击路径。未来趋势上，结合大语言模型的自动化攻击剧本推演将成新方向。

下载链接

https://github.com/y1nglamore/IDOR_detect_tool

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白名单。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与本公众号无关。

✦

✦