[[430665]]

關(guān)于Raider

Raider是一款功能強(qiáng)大的Web身份認(rèn)證測試框架，該框架被設(shè)計(jì)用來測試Web應(yīng)用程序的身份認(rèn)證機(jī)制。雖然像ZAProxy和Burpsuite這樣的Web代理工具同樣可以允許研究人員進(jìn)行身份認(rèn)證測試，但它們并不能提供測試認(rèn)證過程本身的一個功能，即操縱相關(guān)輸入字段來識別失效的身份驗(yàn)證。目前，真實(shí)場景中大多數(shù)身份驗(yàn)證漏洞都是通過手動測試或編寫自定義腳本來識別的。而Raider的主要功能就是通過提供與現(xiàn)代身份驗(yàn)證系統(tǒng)中所有重要元素交互的接口，使測試的過程更簡單。

功能介紹

Raider可以支持大多數(shù)現(xiàn)代身份認(rèn)證系統(tǒng)，下面給出的是Raider提供的功能：

• 無限的認(rèn)證步驟;
• 針對每一步驟支持無限的輸入/輸入;
• 可以根據(jù)情況決定下一步操作;
• 接收響應(yīng)時執(zhí)行任意操作;
• 可輕松創(chuàng)建自定義操作或插件;

工作機(jī)制

Raider會將身份驗(yàn)證機(jī)制視為有限狀態(tài)機(jī)，每個身份驗(yàn)證步驟都是不同的狀態(tài)，具有自己的輸入和輸出，它們可以是Cookie、Header、CSRF令牌或其他信息。

每個應(yīng)用程序都需要使用自己的配置文件，才能讓Raider正常工作，配置文件采用的是Hylang編寫，因?yàn)橛袝r有時身份驗(yàn)證會變得相當(dāng)復(fù)雜，而使用靜態(tài)配置文件不足以涵蓋所有細(xì)節(jié)。Lisp使代碼和數(shù)據(jù)的組合變得容易，這正是Raider所需要的。

工具安裝

Raider可以通過Pypi進(jìn)行安裝：

$ pip3 install --user raider 

項(xiàng)目地址

Raider：【GitHub傳送門】