[[430665]]

關于Raider

Raider是一款功能強大的Web身份認證測試框架，該框架被設計用來測試Web應用程序的身份認證機制。雖然像ZAProxy和Burpsuite這樣的Web代理工具同樣可以允許研究人員進行身份認證測試，但它們并不能提供測試認證過程本身的一個功能，即操縱相關輸入字段來識別失效的身份驗證。目前，真實場景中大多數身份驗證漏洞都是通過手動測試或編寫自定義腳本來識別的。而Raider的主要功能就是通過提供與現代身份驗證系統中所有重要元素交互的接口，使測試的過程更簡單。

功能介紹

Raider可以支持大多數現代身份認證系統，下面給出的是Raider提供的功能：

• 無限的認證步驟;
• 針對每一步驟支持無限的輸入/輸入;
• 可以根據情況決定下一步操作;
• 接收響應時執行任意操作;
• 可輕松創建自定義操作或插件;

工作機制

Raider會將身份驗證機制視為有限狀態機，每個身份驗證步驟都是不同的狀態，具有自己的輸入和輸出，它們可以是Cookie、Header、CSRF令牌或其他信息。

每個應用程序都需要使用自己的配置文件，才能讓Raider正常工作，配置文件采用的是Hylang編寫，因為有時有時身份驗證會變得相當復雜，而使用靜態配置文件不足以涵蓋所有細節。Lisp使代碼和數據的組合變得容易，這正是Raider所需要的。

工具安裝

Raider可以通過Pypi進行安裝：

$ pip3 install --user raider 

項目地址

Raider：【GitHub傳送門】