越权测试插件Auth Analyzer
1 、安装
2、Burp 代理需要设置系统代理和浏览器代理,可以使用Burp Suite内置浏览器(已经开启了代理)。
代理设置:
启动open browser, 设置 Intercept is off (否则会拦截所有的请求)
3、环境准备:使用Burp内置的浏览器登录一个具有完全权限的账号(获取token),使用其他的浏览器登录一个不具有任何权限的账号,并获取这个无权限账号的Token,注意需要连同前面的"token: "一起复制。
启动, 点击右侧的“Analyzer Stopped”按钮直至其变成Analyzer running。
4、操作
5、Filters 取消勾选
6、查看与分析
SAME:跟手动探测数据相同
DIFFERENT:跟手动探测数据不同
SIMILAR :跟手动探测数据相似