内容摘要：相信大部分读者跟我一样，每天都在写各种API为Web应用提供数据支持，那么您是否有想过您的API是否足够安全呢？Web应用的安全是网络安全中不可忽视的关键方面。我们必须确保其Web应用与后台通信的安全

相信大部分读者跟我一样，用安源A越权每天都在写各种API为Web应用提供数据支持
 ，全开那么您是漏洞否有想过您的API是否足够安全呢
？

Web应用的安全是网络安全中不可忽视的关键方面 。模板下载我们必须确保其Web应用与后台通信的检测安全，以防止数据泄露，系统因为这可能导致重大的奉上财务损失和声誉受损。

而在Web应用的用安源A越权安全问题中 ，最常见的源码库全开漏洞之一是不安全的直接对象引用，简称：IDOR。漏洞即：当应用程序允许用户访问他们不应该访问的检测资源时，就会发生IDOR漏洞  。系统比如
：SaaS软件的云计算奉上用户A访问到了用户B的数据 ，这样的用安源A越权漏洞是灾难性的
，因为用户将不再信任您提供的全开服务 。香港云服务器

那么如何方便 、漏洞快捷的检测IDOR漏洞呢？今天就给大家推荐一个好用的开源工具 ：IDOR_detect_tool

开源地址：https://github.com/y1nglamore/IDOR_detect_tool

使用简单

从 GitHub 存储库下载工具准备好目标系统的A
、B两账号，根据系统的鉴权逻辑（Cookie、亿华云header、参数等）将A账号信息配置config/config.yml ，之后登录B账号

使用B账号访问，脚本会自动替换鉴权信息并重放 ，根据响应结果判断是否存在越权漏洞

生成报表 ，每次有新漏洞都会自动添加到report/result.html中 ，通过浏览器打开

点击具体条目可以展开/折叠对应的免费模板请求和响应 ：

核心检测逻辑