越权测试插件Auth Analyzer

1 、安装

 2、Burp 代理需要设置系统代理和浏览器代理，可以使用Burp Suite内置浏览器(已经开启了代理)。

代理设置：

 启动open browser,  设置 Intercept is off （否则会拦截所有的请求）

 

 

 

3、环境准备：使用Burp内置的浏览器登录一个具有完全权限的账号（获取token），使用其他的浏览器登录一个不具有任何权限的账号，并获取这个无权限账号的Token，注意需要连同前面的"token: "一起复制。

 

启动， 点击右侧的“Analyzer Stopped”按钮直至其变成Analyzer running。

 4、操作

 

5、Filters 取消勾选

 

6、查看与分析

SAME：跟手动探测数据相同

DIFFERENT:跟手动探测数据不同

SIMILAR :跟手动探测数据相似