小編給大家分享一下AuthMatrix是一款什么工具����,希望大家閱讀完這篇文章之后都有所收獲,下面讓我們一起去探討吧�����!
專注于為中小企業(yè)提供成都做網(wǎng)站�����、網(wǎng)站建設(shè)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)泊頭免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)����。我們立足成都,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動(dòng)了近1000家企業(yè)的穩(wěn)健成長(zhǎng)�,幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變�。
AuthMatrix
AuthMatrix是一款針對(duì)Burp Suite工具的插件,該工具可以幫助廣大研究人員對(duì)Web應(yīng)用程序以及Web服務(wù)的認(rèn)證機(jī)制進(jìn)行安全測(cè)試����。在AuthMatrix的幫助下,測(cè)試人員可以將注意力放在特定應(yīng)用的用戶表���、權(quán)限���、角色和請(qǐng)求上面了,而這些數(shù)據(jù)庫表和網(wǎng)絡(luò)請(qǐng)求的結(jié)構(gòu)也可以直接映射到各種威脅建模方法中常見的訪問控制矩陣�����。
工具安裝配置完成之后��,測(cè)試人員就可以直接通過鼠標(biāo)點(diǎn)擊就可以啟動(dòng)測(cè)試任務(wù)了��。工具將以帶有色彩高亮的界面顯示測(cè)試的輸出結(jié)果���,并標(biāo)注目標(biāo)系統(tǒng)中存在的認(rèn)證授權(quán)漏洞���。
工具安裝
AuthMatrix可以直接通過Burp Suite BApp Store來進(jìn)行安裝�����。在Burp Suite中�,選擇Extender標(biāo)簽頁�,然后選擇BApp Store,選擇AuthMatrix���,然后點(diǎn)擊安裝即可�����。
如果研究人員想要進(jìn)行手動(dòng)安裝的話���,可以直接使用下列命令將該項(xiàng)目源碼克隆至本地:
接下來,打開Burp Suite�,選擇Extender標(biāo)簽頁,點(diǎn)擊“Add”按鈕���,將擴(kuò)展類型更改為Python���,然后選擇AuthMatrix Python文件即可:
git clone https://github.com/SecurityInnovation/AuthMatrix.git
注意事項(xiàng)
AuthMatrix的正常運(yùn)行需要配置Burp Suite去使用Jython�,具體配置方法請(qǐng)參考這篇【文檔】����。確保使用的Jython版本大于或等于v2.7.0,以保證工具的兼容性���。
工具使用
在目標(biāo)應(yīng)用程序中創(chuàng)建擁有各種權(quán)限角色的用戶賬號(hào),一般是User��、Admin或Anonymous匿名帳戶�����。
創(chuàng)建足夠數(shù)量的用戶來對(duì)應(yīng)應(yīng)用程序內(nèi)的各種角色權(quán)限����,然后通過勾選框來給用戶進(jìn)行分組?���!皢蝹€(gè)用戶”角色只包含一個(gè)用戶,你也可以刪除組內(nèi)用戶�。
在Repeater標(biāo)簽頁中為每一個(gè)用戶生成會(huì)話令牌,并在Users表的相應(yīng)列中填寫令牌���。Cookie可以直接通過右鍵點(diǎn)擊Repeater界面中的用戶來進(jìn)行發(fā)送�����。AuthMatrix可以對(duì)Cookie中的字符串?dāng)?shù)據(jù)進(jìn)行智能解析����,并填充至請(qǐng)求中。這里的Cookie域是可選項(xiàng)����,如果目標(biāo)使用的是HTTP Header,這里也可以點(diǎn)擊“New Header”按鈕來進(jìn)行Header添加���。
在Burp Suite的其他標(biāo)簽頁中�,也可以右鍵點(diǎn)擊來選擇“發(fā)送給AuthMatrix”���。
在AuthMatrix的請(qǐng)求表中�����,可以通過勾選框來選擇需要發(fā)送HTTP請(qǐng)求的認(rèn)證選項(xiàng)�����。
根據(jù)請(qǐng)求的響應(yīng)行為來自定義響應(yīng)正則式�,并判斷是否認(rèn)證成功。常見的正則式包含HTTP相應(yīng)Header����,成功信息以及其他變量將包含在body中。
點(diǎn)擊工具下方的“Run”按鈕����,便可以直接批量發(fā)送請(qǐng)求�����,然后通過工具接口觀察測(cè)試結(jié)果�����。綠色內(nèi)容表示無漏洞����,紅色表示請(qǐng)求中可能存在漏洞,藍(lán)色表示結(jié)果可能存在假陽性�。
工具演示截圖
AuthMatrix樣本配置
假陽性檢測(cè)(無效的會(huì)話令牌)
CSRF檢測(cè)
跨用戶資源測(cè)試
用戶認(rèn)證
Failure Regex模式配置樣本
看完了這篇文章,相信你對(duì)“AuthMatrix是一款什么工具”有了一定的了解�,如果想了解更多相關(guān)知識(shí)���,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道,感謝各位的閱讀�����!
文章標(biāo)題:AuthMatrix是一款什么工具
當(dāng)前地址:
http://weahome.cn/article/jhjjsi.html
重慶分公司
重慶分公司
