Burp插件Autorize使用

Autorize（越权，未授权）

新人小白，这是我的第一个博客
以下内容仅供我个人学习使用，如有不正确的地方欢迎各位师傅指教（呜呜呜）

在使用这个插件的时候我也很头疼，测了好几次就是不对，后面把低权限cookie换了一下再测试就可以正常看出存在的越权问题了（估摸着应该是cookie过期的问题）

我这里是拿pikachu的垂直越权靶场进行测试的，靶场搭建不再赘述，插件下载百度即可，一堆教程

先登录低权限的账号，拿到cookie放到下图所示的地方



左边红色bypass说明存在越权漏洞，黄色则表示不确定，绿色则表示没有漏洞，右边的红色则是未授权漏洞相关



可以看到右边内容总共分为三段，第一段是修改cookie之后的数据包，也就是低权限的cookie，第二段的是原本的数据包，没有任何改动，最后一个是将cookie删除之后发送的数据包，用来判断是否有未授权漏洞

还有左边流量颜色区域左边的三个值，如果Unauth和的值和Orig的值是一样的即代表存在未授权


总结：
弄了好久都不知道是什么原因导致的，我需要重新登录低权限账号，替换掉刚刚低权限的cookie再重新发包，才可以判断出存在未授权漏洞，但是刚刚真相大白了，用了两个浏览器进行测试就可以完美的规避这个问题了（我想了一下大概是因为要保证两个账号的cookie都不能过期才能测试出来）



如果有看不懂的地方可以移步下面链接
B站up主讲解Autorize插件的视频