web安全团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 网络安全 > web安全 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

AuthMatrix：BurpSuite工具，用于Web应用程序和服务的身份验证和安全性测试

文章来源：重庆网站建设围观次数：

分享到:

摘要：AuthMatrix是Burp Suite工具的插件,可以帮助研究人员对Web应用程序和Web服务的身份验证机制进行安全测试。借助AuthMatrix，测试人员可以专注于特定应用程序的用户表，权限，角色和请求

AuthMatrix是Burp Suite工具的插件,可以帮助研究人员对Web应用程序和Web服务的身份验证机制进行安全测试。借助AuthMatrix，测试人员可以专注于特定应用程序的用户表，权限，角色和请求，这些数据库表和网络请求的结构也可以直接映射到常见的威胁建模方法访问控制矩阵。

安装并配置该工具后，测试人员可以通过单击鼠标直接启动测试任务。该工具将以彩色界面显示测试输出结果，并标记目标系统中的身份验证和授权漏洞。

工具安装

AuthMatrix可以直接通过Burp Suite BApp Store安装。在Burp Suite中，选择“Extender”选项卡，然后选择“ App商店”，选择“ AuthMatrix”，然后单击“安装”。

如果研究人员想要手动安装，则可以使用以下命令将项目的源代码直接克隆到本地：

接下来，打开Burp Suite，选择Extender选项卡，单击“Add”按钮，将扩展类型更改为Python，然后选择AuthMatrix Python文件：

git clone https://github.com/SecurityInnovation/AuthMatrix.git

预防措施

AuthMatrix的正常运行需要将Burp Suite配置为使用Jython。确保使用的Jython版本大于或等于v2.7.0，以确保工具兼容性。

工具使用

在目标应用程序中创建具有各种权限和角色的用户帐户，通常是User，Admin或Anonymous匿名帐户。

创建足够数量的用户以对应于应用程序中的各种角色权限，然后通过复选框将用户分组。“单个用户”角色仅包含一个用户，也可以删除组中的用户。

在“Repeater”选项卡中为每个用户生成一个会话令牌，然后在“Users”表的相应列中填写令牌。可以通过在Repeater界面中右键单击用户来直接发送Cookie。AuthMatrix可以智能地分析Cookie中的字符串数据，并将其填充到请求中。Cookie域是可选的。如果目标使用HTTP Header，则还可以单击“新建Header”按钮以添加Header。

在Burp Suite的其他选项卡中，也可以右键单击以选择“发送到AuthMatrix”。

在AuthMatrix的请求表单中，可以通过选中复选框来选择需要发送HTTP请求的身份验证选项。

根据请求的响应行为自定义响应正则表达式，并确定认证是否成功。常见的正则表达式包括HTTP标头，成功信息和其他变量将包含在body中。

单击工具下方的“运行”按钮，直接批量发送请求，然后通过工具界面观察测试结果。绿色表示没有漏洞，红色表示请求中可能存在漏洞，蓝色表示结果可能有误报。

工具演示截图

AuthMatrix示例配置