夜雨聆风
Burp Suite 越权检测辅助插件
免责声明
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!所有工具安全性自测!!!VX:NightCTI
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全“设为星标”,否则可能就看不到了啦!
工具介绍
AuthKit 用于把一条业务请求快速扩展为 Original / Unauthorized / 多角色 对比样本,帮助你更高效地发现:
-
未授权访问 -
水平越权 -
垂直越权 -
对象级授权缺失(BOLA)
它支持被动捕获流量和右键主动送测,适合放在 Burp 的日常测试流程里使用。
界面
核心能力
-
多身份自动重放:自动生成 Original、Unauthorized、UserA/UserB/...对比结果 -
多维指标展示:支持 Length、Status Code、Hash、AttributeNum、Rank -
快速定位异常:表格差异染色、元数据面板、 Response Diff -
右键菜单联动:支持 Send to AuthKit、Extract Auth to User -
灵活范围控制:支持 Domain Scope、Request Filter、Tool Type Scope
适用场景
-
用 Unauthorized快速排查未授权访问 -
用 UserA / UserB对比水平越权 -
用 User / Admin对比垂直越权 -
用参数替换验证资源 ID、租户 ID、用户 ID 等对象访问控制 -
在 Proxy/Repeater中批量巡检高风险接口
工具获取
点击关注下方名片进入公众号
回复关键字【260311】获取下载链接
往期精彩
哥斯拉反射自定义 AES 通信插件加密器,基于Data-Flow Break与动态回调伪装的webshell生成器
2026-03-10
Burp Suite平替 | 智能代理、强大插件、集成云端虚拟手机,快速定位APP漏洞
2026-03-09
Web安全扫描工具 | JS敏感信息收集、API端点提取、API文档解析、页面爬取、子域名发现、漏洞测试、WAF检测与绕过、JS代码分析
2026-03-06
跨平台自动化安全应急响应数据采集与分析工具 | 应急响应、入侵排查、挖矿病毒溯源
2026-03-05
银河麒麟OS安全检测工具 | 资产清点、合规检查、漏洞扫描和报告生成一体化
2026-03-04
