87
// 项目简介
Shannon 是一款自主的白盒 AI 渗透测试工具,通过分析源代码来识别并利用 Web 应用程序和 API 中的安全漏洞。它利用浏览器自动化和命令行工具进行实时测试,为发现的问题提供可验证的概念验证漏洞利用。通过集成到开发工作流程中,它能帮助团队弥补年度渗透测试之间的安全空白。
// 技术分析
Shannon 是一个自主的白盒 AI 渗透测试框架,旨在弥合不频繁的手动渗透测试与快速软件开发周期之间的安全差距。通过将静态源代码分析与实时代理式漏洞利用相结合,它能够直接针对运行中的应用程序识别并验证 XSS、SSRF 和注入攻击等漏洞。这种方法优先考虑可操作的安全性,仅报告具有可验证、可复现的概念验证 (PoC) 漏洞,从而有效减少开发团队面临的干扰信息。
// 核心亮点
01
执行完全自主的渗透测试,包括处理 2FA/TOTP 和浏览器导航等复杂任务,无需人工干预。
02
确保高保真报告,仅包含已通过有效概念验证 (PoC) 成功验证的漏洞。
03
利用代码感知动态测试,根据源代码分析指导攻击策略,提高漏洞利用阶段的精确度。
04
集成 Nmap、Subfinder 和 Schemathesis 等标准安全工具,以增强侦察和发现能力。
05
支持跨多个攻击类别的并行处理,以优化安全评估流水线的速度和效率。
06
提供基于工作区的架构,允许在不重新运行已完成任务的情况下对中断的扫描进行检查点设置和恢复。
// 典型使用场景
01
针对 Web 应用程序和 API 的自主白盒渗透测试
02
自动识别并验证 XSS、SSRF 和注入等 OWASP 漏洞
03
集成 CI/CD 的安全测试,并生成可复现的概念验证漏洞利用
// 快速开始
开始之前,请确保您的系统已安装 Docker 和 Node.js。运行 'npx @keygraph/shannon setup' 配置您的 AI 提供商凭据,然后执行 'npx @keygraph/shannon start -u <target_url> -r <repo_path>' 即可针对您的应用程序启动自主渗透测试。