关于RaiderRaider是一个强大的Web认证测试框架,旨在测试Web应用的认证机制。虽然ZAProxy和Burpsuite等Web代理工具也允许研究人员进行身份验证测试,但它们不提供测试身份验证过程本身的能力,无法操纵相关的输入字段来识别损坏的身份验证。目前,现实场景中的大多数身份验证漏洞都是通过手动测试或编写自定义脚本来识别的。Raider的主要功能是通过提供与现代身份验证系统的所有重要元素交互的接口来简化测试过程。功能介绍Raider可以支持大多数现代身份认证系统,以下是Raider提供的功能:无限认证步骤;支持无限输入/输入每一步;可以根据情况决定下一步;收到响应后执行任意操作;可以轻松创建自定义操作或插件;工作机制Raider将认证机制视为一个有限状态机,每个认证步骤都是一个不同的状态,有自己的输入和输出,它们可以是Cookie、Header、CSRFtoken或其他信息。每个应用程序都需要使用自己的配置文件才能使Raider正常工作。配置文件是用Hylang编写的,因为有时身份验证会变得相当复杂,使用静态配置文件不足以涵盖所有细节。Lisp使组合代码和数据变得容易,这正是Raider所需要的。工具安装攻略可以通过Pypi安装:$pip3install--userraider项目地址攻略:[GitHub传送门]
