一个好用的越权扫描工具。
- 传统扫描工具的局限性:IAST 和 DAST 等安全产品主要解决 OWASP Top 10 中的传统安全漏洞,如 SQL 注入、XSS、RCE 等。这些漏洞具有规则化特征,易于通过扫描器检测。然而,越权漏洞本质上属于“逻辑”漏洞。由于逻辑漏洞涉及复杂的业务逻辑和流程,传统扫描器难以捕获。例如,一个功能从需求提出、评审到研发、测试、上线的过程中,每个人对其理解都可能不同。即使是研发团队,在短时间内也可能忘记某个功能的具体实现细节。因此,指望一个没有“智慧”大脑的扫描器理解并发现这些漏洞是不现实的,有时功能本身可能就是一个逻辑错误(类似于伪需求)。
- 越权漏洞的高发性与高危害:在成熟的互联网企业中,统一的公共服务、标准的研发规范、成熟的自动化流水线,以及逐渐步入内生安全的代码框架,使得传统的 Web 应用安全漏洞越来越少。然而,越权漏洞因研发忘记对某个参数进行逻辑或归属校验而发生的几率依然很高,且造成的危害可能极大。
越权漏洞自动化检测难、易发生且危害严重,但我们仍可以尽力自动化检测一部分越权漏洞。
工具开发初期,参考了pirogue.org的这篇《越权扫描器碎碎念》文章,深感大佬的开源精神值得敬佩。