批量越权未授权测试（Burpsuite Autorize插件）

说明

由于安全设备的发展，常规漏洞难以挖掘，逻辑漏洞的挖掘重要性与日俱增。在测试越权和未授权的时候人工对单一接口测试耗时耗力，所以推荐半自动越权测试burp插件，大大提高安全工程师的效率。减少漏测。

安装

批量越权未授权测试（Burpsuite Autorize插件）
Extender-BApp store

使用

在框框中填入低权限cookie，并点击Autorize off 变成Autorize on

插件会自动化替换低权限的cookie。
接下来的操作只要访问高权限的账户，点击高权限的功能就行了。

如果是auth pass 就是越权，unauth pass就是未授权。红色代表有问题，绿色有鉴权没问题，需要人工进一步排查。

说明

PS：请按照当地安全法规，获取授权后再进行测试，请勿未授权进行攻击测试。