# PermissionTest

**Repository Path**: yjysss/PermissionTest

## Basic Information

- **Project Name**: PermissionTest
- **Description**: No description available
- **Primary Language**: Unknown
- **License**: Apache-2.0
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 1
- **Forks**: 0
- **Created**: 2025-07-22
- **Last Updated**: 2025-10-03

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README

# PermissionTest

PermissionTest 是一个 Burp Suite 插件，用于测试 Web 应用程序的权限控制和访问控制漏洞。该插件可以帮助安全研究人员和渗透测试人员自动化检测水平越权（Horizontal Privilege Escalation）和垂直越权（Vertical Privilege Escalation）漏洞。

## 功能特点

- **权限测试**: 自动化测试不同权限级别下的访问控制
- **请求对比**: 对比原始请求与修改后请求的响应差异
- **多维度检测**: 支持低权限和未授权访问测试
- **灵活配置**: 可自定义规则和过滤条件
- **直观界面**: 提供图形化界面展示测试结果

## 主要组件

### 核心功能
- **Extension.java**: 插件入口点，初始化插件面板和右键菜单
- **PermissionTestPanel.java**: 主要的用户界面，包含请求列表和详细信息展示
- **MenuItemProvider.java**: 提供右键菜单选项，支持将请求发送到插件

### UI 组件
- **ConfigPanel.java**: 配置中心，包含测试规则和选项设置
- **RulePanel.java**: 规则配置面板，支持自定义检测规则
- **InterceptFilterPanel.java**: 拦截过滤器配置
- **SaveRestorePanel.java**: 保存和恢复测试结果功能
- **ColorTableCellRenderer.java**: 表格单元格颜色渲染器，用于可视化测试结果

### 工具类
- **ConfigUtil.java**: 配置管理工具
- **CsvReportUtil.java**: CSV 格式报告生成
- **HtmlReportUtil.java**: HTML 格式报告生成
- **LoggerUtil.java**: 日志记录工具
- **PermissionTestUtil.java**: 权限测试核心逻辑
- **RequestUtil.java**: 请求处理工具
- **RuleUtil.java**: 规则处理工具
- **InterceptFilterUtil.java**: 拦截过滤器工具

## 使用方法

1. 在 Burp Suite 中加载插件
2. 通过右键菜单将请求发送到 PermissionTest
3. 在插件界面中配置测试规则和选项
4. 点击"开始测试"执行权限测试
5. 查看测试结果并分析潜在的权限漏洞

## 配置选项

- **临时请求头**: 可以设置用于测试的自定义请求头
- **检查未授权**: 启用或禁用未授权访问测试
- **忽略响应码**: 可配置忽略特定 HTTP 响应码（如 204、304）
- **避免304响应**: 通过添加请求头避免服务器返回 304 状态码
- **使用配置规则**: 启用或禁用自定义规则匹配

## 规则配置

插件支持多种类型的规则配置：
- 状态码匹配（等于/不等于）
- 响应头匹配（包含/不包含，支持字符串和正则表达式）
- 响应体匹配（包含/不包含，支持字符串和正则表达式）

## 测试类型

1. **低权限测试**: 模拟低权限用户访问资源
2. **未授权测试**: 模拟未登录用户访问需要权限的资源

## 结果展示

测试结果会在表格中以不同颜色标识：
- 绿色: 访问被正确拒绝
- 红色: 存在潜在权限问题
- 黄色: 需要进一步人工验证

## 报告导出

支持将测试结果导出为 CSV 和 HTML 格式，便于后续分析和报告编写。