Расширение AuthMatrix – Burp Suite, обеспечивающее простой способ проверки авторизации в веб-приложениях и веб-сервисах |

Расширение AuthMatrix – Burp Suite, обеспечивающее простой способ проверки авторизации в веб-приложениях и веб-сервисах

Обзоры

Расширение AuthMatrix – Burp Suite, обеспечивающее простой способ проверки авторизации в веб-приложениях и веб-сервисах



 

AuthMatrix является расширением Burp Suite, которое обеспечивает простой способ проверки авторизации в веб-приложениях и веб-службах.

С помощью AuthMatrix тестировщики сосредоточены на тщательном определении таблиц пользователей, ролей и запросов для их конкретного целевого приложения.

Эти таблицы структурированы в том же формате, что и матрица управления доступом, общая для различных методологий моделирования угроз.

После того, как таблицы собраны, тестировщики могут использовать простой интерфейс «click-to-run» для запуска всех комбинаций ролей и запросов.

Результаты могут быть подтверждены с помощью легко читаемого, цветного интерфейса, указывающего на любые уязвимости авторизации, обнаруженные в системе.

Кроме того, расширение обеспечивает возможность сохранения и загрузки целевых конфигураций для простого регрессионного тестирования.

Установка

AuthMatrix можно установить через Burp Suite BApp Store.

Внутри пакета Burp Suite выберите вкладку «the Extender », выберите «Store BApp», выберите «AuthMatrix» и нажмите «Install».

Для ручной установки загрузите AuthMatrix.py из репозитория.

Затем из пакета Burp Suite выберите вкладку «the Extender», нажмите кнопку «Add button», измените тип расширения на «python» и выберите файл скрипта AuthMatrix python.

Заметка

AuthMatrix требует настройки Burp Suite для использования Jython.

Простые инструкции для этого расположены по следующему URL-адресу.

https://portswigger.net/burp/help/extender.html#options_pythonenv

Обязательно используйте Jython версии 2.7.0 или выше для обеспечения совместимости.

Основное использование

Создавайте роли для всех уровней привилегий в целевом приложении. (Общие роли могут включать пользователя, администратора и анонимного пользователя)

Создайте достаточно пользователей для соответствия этим различным ролям и установите флажки для всех ролей, к которым принадлежит пользователь.

Роли «Single-User», содержащие только одного пользователя, будут автоматически настроены для помощи в тестировании ресурсов разных пользователей.

Если они не нужны, не стесняйтесь удалять эти роли, щелкнув правой кнопкой мыши столбец в таблице запросов.

Создайте токены сеанса для каждого пользователя на вкладке Repeater и введите их в соответствующий столбец в таблице Users.

Файлы cookie могут быть отправлены непосредственно пользователям через меню правой кнопки мыши, доступное в Repeater.

AuthMatrix будет разумно анализировать строку cookie из таблицы и подставлять / добавлять их к запросам там, где это применимо.

ПРИМЕЧАНИЕ. Поле Cookies необязательно. Если в целевом случае используются заголовки HTTP, их можно добавить, нажав кнопку «Новый заголовок».

Скачать AuthMatrix

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий