关于Raider
Raider强大的功能Web设计用于测试身份认证测试框架Web应用程序的身份认证机制。ZAProxy和Burpsuite这样的Web代理工具还允许研究人员进行身份认证测试,但它们不能提供测试认证过程本身的功能,即操作相关输入字段来识别无效的身份验证。目前,大多数真实场景中的身份验证漏洞都是通过手动测试或编写定制脚本来识别的。Raider其主要功能是提供与现代身份验证系统中所有重要元素交互的接口,使测试过程更加简单。
功能介绍
Raider它可以支持大多数现代身份认证系统。Raider提供的功能:
- 认证步骤无限;
- 支持每一步无限输入/输入;
- 下一步操作可根据情况确定;
- 任意操作在接收响应时进行;
- 可轻松创建自定义操作或插件;
工作机制
Raider身份验证机制将被视为有限状态机。每个身份验证步骤都处于不同的状态,有自己的输入和输出。它们可以是Cookie、Header、CSRF令牌或其他信息。
每个应用程序都需要使用自己的配置文件Raider正常工作,配置文件采用Hylang由于有时身份验证会变得相当复杂,使用静态配置文件不足以涵盖所有细节。Lisp使代码和数据的组合更容易,这正是Raider所需要的。
工具安装
Raider可以通过Pypi进行安装:
项目地址
Raider:【GitHub传送门】