AuthMatrix 使用教学文档

一、AuthMatrix 简介

AuthMatrix 是一款针对 Burp Suite 工具的插件，专门用于测试 Web 应用程序和 Web 服务的认证机制安全。它通过可视化的矩阵界面帮助安全测试人员：

• 集中管理不同角色的用户账户
• 快速配置和发送认证测试请求
• 直观显示测试结果（漏洞标记）
• 支持多种认证方式测试（Cookie、Header等）

二、安装指南

1. 推荐安装方法（通过 BApp Store）

1. 打开 Burp Suite
2. 选择 "Extender" 标签页
3. 选择 "BApp Store"
4. 搜索并找到 "AuthMatrix"
5. 点击 "Install" 按钮进行安装

2. 手动安装方法

1. 克隆项目仓库：

   git clone https://github.com/SecurityInnovation/AuthMatrix.git
   

2. 打开 Burp Suite
3. 选择 "Extender" 标签页
4. 点击 "Add" 按钮
5. 将扩展类型更改为 "Python"
6. 选择克隆的 AuthMatrix Python 文件

3. 环境要求

• Jython 配置：必须配置 Burp Suite 使用 Jython
  • 要求 Jython 版本 ≥ v2.7.0
  • 配置方法参考官方文档

三、工具配置

1. 用户账户设置

1. 在目标应用中创建不同权限角色的用户账户（如 User、Admin、Anonymous）
2. 在 AuthMatrix 的 "Users" 表中：
   • 添加用户并填写用户名
   • 通过勾选框进行用户分组
   • 可创建"单个用户"角色或删除组内用户

2. 会话令牌配置

1. 在 Burp Suite 的 "Repeater" 标签页中为每个用户生成会话令牌
2. 在 "Users" 表的相应列中填写令牌：
   • Cookie：右键点击 Repeater 界面中的用户请求发送到 AuthMatrix
   • AuthMatrix 会自动解析 Cookie 字符串并填充到请求中
   • Cookie 域为可选项
3. 对于 HTTP Header 认证：
   • 点击 "New Header" 按钮添加 Header

3. 请求添加方法

1. 在 Burp Suite 的任何标签页中：
   • 右键点击请求
   • 选择 "Send to AuthMatrix"

四、测试执行

1. 请求配置

1. 在 AuthMatrix 的 "Requests" 表中：
   • 通过勾选框选择要发送的 HTTP 请求和认证选项
   • 每个请求可以针对不同用户进行测试

2. 响应验证配置

1. 根据应用响应行为自定义响应正则表达式：
   • 用于判断认证是否成功
   • 常见匹配项包括：
     • HTTP 响应 Header
     • 成功信息（在 body 中）
     • 其他变量

3. 执行测试

1. 点击工具下方的 "Run" 按钮
2. 批量发送所有配置的请求
3. 在界面中查看测试结果：
   • 绿色：无漏洞
   • 红色：可能存在漏洞
   • 蓝色：可能存在假阳性

五、测试场景支持

AuthMatrix 支持多种认证安全测试场景：

1. 假阳性检测：识别无效的会话令牌
2. CSRF 检测：测试跨站请求伪造漏洞
3. 跨用户资源测试：验证用户间权限隔离
4. 用户认证测试：检查认证机制有效性
5. Failure Regex 模式：配置失败响应模式样本

六、最佳实践建议

1. 测试前准备：

   • 确保拥有目标应用的各种角色账户
   • 准备足够的测试用例覆盖所有权限组合

2. 结果分析：

   • 重点关注红色标记的请求
   • 蓝色标记的假阳性结果需要人工验证
   • 结合应用业务逻辑判断漏洞实际影响

3. 正则表达式优化：

   • 根据应用响应特点调整正则表达式
   • 避免过于宽泛的匹配模式导致误报

七、项目资源

• GitHub 仓库：AuthMatrix
• 官方文档：参考 Burp Suite 和 Jython 的配置文档

八、注意事项

1. 确保 Burp Suite 和 Jython 版本兼容
2. 测试前备份应用数据，避免测试操作影响生产环境
3. 获得合法授权后再进行安全测试
4. 复杂的认证机制可能需要定制化的正则表达式配置