shroudcloud.com

是什么

ShroudCloud 定位为 OAuth Attack Infrastructure，面向渗透测试公司、企业内部红队和独立研究员，用于在授权场景下执行认证攻击测试。它不是传统意义上的防火墙、WAF 或身份防护平台，而是提供可配置的 OAuth 组件，包括恶意 IdP 与 crafted RP，帮助测试真实目标中的 OAuth 配置缺陷。

核心能力

当前 Beta 范围聚焦两类攻击流：Authorization Code Interception 与 Redirect URI Manipulation。前者让 ShroudCloud 在授权握手中扮演恶意 IdP，配置 client ID、redirect URI、scope 后捕获授权码与 token payload；后者通过 crafted RP 探测目标 IdP 的 redirect URI 校验问题，包括 open redirect、子域混淆、路径遍历和 fragment injection。平台还记录完整 HTTP 请求响应、tokens、codes、redirects 与 timing，便于后续报告取证。

定价与成熟度

正文未披露具体价格。服务条款显示订阅按月计费，取消在当前账期末生效，部分月份不退款；路线图提到 Phase 2 会开放 individual subscriptions。目前处于私有开发/早期访问阶段，Phase 1 主要是等待名单，产品访问仍有限。合规认证、SLA、企业支持、支付方式均未说明。

优缺点

优点是定位非常垂直，解决红队在 OAuth 项目中反复自建 IdP/RP 的痛点；参数化配置和会话日志能提升执行与报告效率；FlawedToken 开源演示目标也适合练习和客户演示。缺点是可用能力还窄，SAML、MFA bypass、session lifecycle、IaC 导出等仍在路线图；同时条款中出现“private VPN infrastructure services”的描述，与主页产品定位存在不一致，需在采购前确认服务边界。

适合谁与中国访问

它更适合有明确授权认证测试需求的专业红队、渗透测试团队和研究员，不适合普通企业作为日常安全防护工具直接采购。中国大陆访问、支付支持和本地合规信息均未披露，china_access 只能评估为未知。若无法使用，可考虑 Burp Suite Professional、OWASP ZAP、PortSwigger 的 OAuth 测试方法，或自建 OAuth IdP/RP 测试环境作为替代。