在网络安全领域，IDOR（不安全的直接对象引用）是一种常见但极具危害的漏洞。它的存在可能导致未经授权的数据访问、权限提升，甚至可能彻底破坏应用程序的安全。对于漏洞赏金猎人和安全测试人员来说，掌握 IDOR 漏洞的检测和利用方法，既是提升技能的重要途径，也是发现高价值漏洞的利器。

今天，我们将通过一篇完整的指南，带你从零开始学习 IDOR 漏洞的检测和利用方法，并结合工具、技术和实例，全面掌握这一关键技能。

什么是 IDOR 漏洞？

IDOR（Insecure Direct Object References）漏洞指的是应用程序在暴露对象引用（如 ID、文件名或令牌）时，没有进行充分的授权检查，导致攻击者可以通过修改这些引用值，访问不属于自己的资源或数据。

常见的 IDOR 漏洞场景：

1. 用户 ID 修改：攻击者通过修改 URL 中的 user_id 参数，访问其他用户的敏感数据。
   例子：

    https://example.com/profile?user_id=123

将 user_id=123 改为 user_id=124，即可访问另一个用户的个人资料。

文件路径篡改：攻击者通过修改文件下载链接，下载不属于自己的私密文件。
例子：

   https://example.com/files/report_123.pdf

修改文件名为 report_124.pdf 可能会下载另一个文件。

为什么 IDOR 漏洞非常危险？

IDOR 漏洞的危险性在于它不需要复杂的攻击手段，仅通过简单的参数修改即可造成严重后果，包括但不限于：

• 数据泄露：未经授权的用户可以访问敏感数据（如用户信息、财务数据等）。
• 权限提升：攻击者可能通过篡改参数获得更高权限（如将自己变为管理员）。
• 文件泄露：敏感文件可能被非法访问或下载。

因此，IDOR 漏洞不仅危害巨大，还可能对企业声誉和用户信任造成严重影响。

如何检测 IDOR 漏洞？（实战流程）

1. 理解应用程序逻辑

• 明确角色：梳理应用中的角色（如管理员、普通用户、访客）及其对应的权限范围。
• 识别敏感端点：找出涉及敏感数据或操作的 API 端点、请求参数和文件资源。

2. 创建测试账户

• 创建多个测试账户，分别模拟不同角色（如管理员、普通用户、访客）的操作。
• 包括未登录状态的访客会话，以测试未经授权的访问行为。

3. 分析 API 请求和响应

• 使用工具（如 Burp Suite、OWASP ZAP 或 Postman）拦截和分析所有 API 请求和响应，重点关注请求中的参数和响应中的数据。

4. 参数测试与篡改

在分析请求时，重点关注以下参数：

• 用户 ID（user_id）
• 订单 ID（order_id）
• 文件 ID（file_id）

通过修改这些参数（如替换为其他值或预测性 ID），观察应用是否返回未经授权的数据。

IDOR 漏洞检测的具体方法

方法一：识别可疑参数

在 URL、请求头或请求体中，找到类似 user_id、order_id 的参数，并进行以下测试：

• 顺序测试：尝试替换为 1、2、3 等连续数字，观察是否返回其他用户的数据。
• 随机测试：尝试输入随机数或字符串，观察系统的响应行为。
• 预测测试：根据模式（如时间戳或特定格式）猜测可能的参数值。

方法二：暴力破解对象引用

利用自动化工具对大量参数进行系统性测试，快速发现潜在漏洞：

• Burp Suite（Intruder 模块）
  自动暴力测试多个 ID 或对象引用，检测是否存在未授权访问。

bash

   # 示例：批量测试 user_id 参数
   subfinder -d target.com -o subdomains.txt

• ffuf 和 Dirsearch
  对目录、文件路径和参数进行模糊测试，寻找潜在漏洞点。

方法三：测试文件和资源访问

通过修改文件路径，尝试访问敏感文件：

• 修改 URL 中的文件名：

/files/report_123.pdf → /files/report_124.pdf

修改查询参数中的文件名：

 ?file=report_123 → ?file=report_124

尝试目录遍历：

../../etc/passwd

方法四：分析 API 响应

• 仔细检查 API 响应中是否泄露敏感数据。
• 替换请求中的对象 ID，观察是否返回其他用户的数据。

方法五：测试批量分配漏洞（Mass Assignment）

通过在请求体中添加额外字段，测试应用是否处理未经授权的数据。例如：

{
  "user_id": "123",
  "is_admin": true
}

自动化工具与技术

为了提高检测效率，可以借助以下工具：

1. Burp Suite

• 使用 Repeater 模块手动测试参数篡改。
• 利用 Intruder 模块进行自动化暴力测试。

2. OWASP ZAP

• 执行自动扫描，检测访问控制漏洞（IDOR 也属于 BAC 漏洞的一种）。

3. ffuf 和 Dirsearch

• 进行端点模糊测试，快速发现可疑的目录和文件路径。

4. 自定义脚本

• 编写脚本批量测试目标端点，简化重复操作。

总结与建议

IDOR 漏洞是 Web 应用中极具破坏力的一类漏洞，但它的检测和利用并不复杂。通过本文提供的实战方法，你可以系统性地发现潜在漏洞，并帮助开发者修复问题，提升应用的整体安全性。

重要提醒：本文仅供教育和研究之用，请勿将所学内容用于非法用途。在漏洞检测和利用过程中，务必获得目标系统的授权。

阅读原文：原文链接