關(guān)于Raider

Raider是一款功能強(qiáng)大的Web身份認(rèn)證測(cè)試框架，該框架被設(shè)計(jì)用來測(cè)試Web應(yīng)用程序的身份認(rèn)證機(jī)制。雖然像ZAProxy和Burpsuite這樣的Web代理工具同樣可以允許研究人員進(jìn)行身份認(rèn)證測(cè)試，但它們并不能提供測(cè)試認(rèn)證過程本身的一個(gè)功能，即操縱相關(guān)輸入字段來識(shí)別失效的身份驗(yàn)證。目前，真實(shí)場(chǎng)景中大多數(shù)身份驗(yàn)證漏洞都是通過手動(dòng)測(cè)試或編寫自定義腳本來識(shí)別的。而Raider的主要功能就是通過提供與現(xiàn)代身份驗(yàn)證系統(tǒng)中所有重要元素交互的接口，使測(cè)試的過程更簡(jiǎn)單。

功能介紹

Raider可以支持大多數(shù)現(xiàn)代身份認(rèn)證系統(tǒng)，下面給出的是Raider提供的功能：

無限的認(rèn)證步驟；

針對(duì)每一步驟支持無限的輸入/輸入；

可以根據(jù)情況決定下一步操作；

接收響應(yīng)時(shí)執(zhí)行任意操作；

可輕松創(chuàng)建自定義操作或插件；

工作機(jī)制

Raider會(huì)將身份驗(yàn)證機(jī)制視為有限狀態(tài)機(jī)，每個(gè)身份驗(yàn)證步驟都是不同的狀態(tài)，具有自己的輸入和輸出，它們可以是Cookie、Header、CSRF令牌或其他信息。

每個(gè)應(yīng)用程序都需要使用自己的配置文件，才能讓Raider正常工作，配置文件采用的是Hylang編寫，因?yàn)橛袝r(shí)有時(shí)身份驗(yàn)證會(huì)變得相當(dāng)復(fù)雜，而使用靜態(tài)配置文件不足以涵蓋所有細(xì)節(jié)。Lisp使代碼和數(shù)據(jù)的組合變得容易，這正是Raider所需要的。

工具安裝

Raider可以通過Pypi進(jìn)行安裝：

$ pip3 install --user raider

參考資料

https://www.zaproxy.org/

https://portswigger.net/burp

https://docs.raiderauth.com/en/latest/

https://community.raiderauth.com/

關(guān)注我持續(xù)更新——私我獲取【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】

總結(jié)

以上是生活随笔為你收集整理的【Web安全】一款功能强大的Web身份认证测试框架的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。