在Burp插件商店里有一个检测越权的插件:Auth Analyzer。
思路就是: 设定域名和cookie,准备两个不同权限的Cookie, 当接收到HTTP流量时,程序会自动替换cookie, 响应一致时,显示异常。内容不一致,则无异常。
检测范围: 垂直越权
