Authz可通过burp中BApp Store进行下载
用来检测未授权漏洞,选择数据包
将需要进行测试的数据发送到Authz模块中,在此处Cookie中随便输入,就会携带你输入的cookie去访问目标,点击run进行测试,如果返回的数字一样就存在未授权访问
因为我们这里的url是随便找的,登录与不登录都能访问,所以这里返回的数字是一样的,此处是不存在未授权访问的
对HTTP history中的数据进行正侧匹配,将匹配到的数据包更改颜色
此插件可通过github下载:地址
下载导入后会在用户根目录HaE
文件下生成一个Config.yml
文件,此文件为规则库,内容对应着该插件的匹配规则以及颜色设置,可修改Config.yml
对它的规则进行添加与更改
也可以直接在burp中进行添加匹配规则
对规则库Config.yml
文件进行添加规则后,对网址进行访问,HTTP history会将匹配到的数据进行颜色标注
规则库:地址
复制下来直接对Config.yml
更改即可
点击
勾选只显示标注的数据包
ctrl+a全选,将所有标注的数据包选中发送到Authz
中run
进行测试