yassernamez03/Security-Vulnerability-Analysis-Platform-Nautilus

# Nautilus - 安全扫描分析工具 一个帮助您分析安全扫描报告并与 AI 讨论漏洞的 Web 应用程序。 ## 观看演示 [](https://www.youtube.com/watch?v=bBSic0XUKp0&t=205s) **[在 YouTube 上观看完整演示](https://www.youtube.com/watch?v=bBSic0XUKp0&t=205s)** ## 它是做什么的？ Nautilus 不会为您扫描网站。相反，它： - 接收来自 OWASP ZAP、Nessus 或 Burp Suite 等工具的扫描报告 - 解析发现的所有漏洞 - 让您与 AI (Groq/Llama) 讨论安全问题 - 生成专业的 PDF/Word 报告 - 也可以直接运行 OWASP ZAP 扫描 把它想象成一个管理安全发现的智能助手。 ## 技术栈 **后端：** - Python + FastAPI - PostgreSQL (数据库) - Redis (缓存) - Celery (后台任务) - LangChain (AI 代理) - Groq API (LLM) **前端：** - React + TypeScript - Vite - Tailwind CSS - shadcn/ui 组件 ## 使用 Docker 快速开始 **要求：** 已安装 Docker 和 Docker Compose ``` # 克隆 repo git clone https://github.com/yassernamez03/Pentesting-App.git cd Pentesting-App # 复制 env file cp .env.example .env # 编辑 .env 并添加你的 Groq API key # 在此免费获取：https://console.groq.com/keys # 启动所有内容 docker-compose up -d ``` 就这样！在浏览器中打开 http://localhost:80。 **登录：** - 邮箱：`admin@secassist.local` - 密码：`Admin@123456` ## 您可以做什么 ### 1. 上传扫描报告 - 使用 ZAP/Nessus/Burp/Acunetix 运行扫描 - 上传 XML/JSON 文件 - 在一处查看所有漏洞 ### 2. 运行 ZAP 扫描（新功能！） - 配置扫描设置 - 直接从 UI 启动扫描 - 实时查看进度 - 分析结果 ### 3. 与 AI 聊天 - 询问有关漏洞的问题 - 获取修复建议 - AI 可以搜索您的漏洞并解释安全内容 ### 4. 生成报告 - 选择要包含的漏洞 - 导出为 PDF、Word 或 HTML - 包含专业格式 ## AI 功能 聊天使用 LangChain 的 ReAct 代理，这意味着： - 它逐步思考（您可以观察它） - 拥有 3 个工具：搜索漏洞、获取统计信息、获取最佳实践 - 记住最近 10 条消息 - 可以进行多步推理 在聊天中打开“AI Reasoning”以查看它是如何思考的。 ## 项目结构 ``` Pentesting-App/ ├── backend/ # FastAPI server │ ├── app/ │ │ ├── api/ # API endpoints │ │ ├── parsers/ # Parse ZAP/Nessus/etc files │ │ └── services/ # Business logic │ └── requirements.txt │ ├── frontend/ # React app │ ├── src/ │ │ ├── components/ │ │ ├── pages/ │ │ └── services/ │ └── package.json │ ├── demo-files/ # Sample scan reports for testing └── docker-compose.yml ``` ## 配置 您需要在 `.env` 文件中设置以下内容： ``` # 必需 SECRET_KEY=your-random-secret-key-here GROQ_API_KEY=your-groq-api-key # Database DATABASE_URL=postgresql://user:pass@postgres:5432/dbname POSTGRES_DB=nautilus POSTGRES_USER=postgres POSTGRES_PASSWORD=your-password # Redis REDIS_URL=redis://redis:6379/0 # ZAP (用于 live scanning) ZAP_API_KEY=your-zap-api-key # Email (用于重置密码) SMTP_HOST=smtp.gmail.com SMTP_USER=your-email@gmail.com SMTP_PASSWORD=your-app-password ``` ## 开发 **后端：** ``` cd backend pip install -r requirements.txt alembic upgrade head uvicorn app.main:app --reload ``` **前端：** ``` cd frontend npm install npm run dev ``` ## 测试 `demo-files/` 中有示例扫描文件，您可以上传进行测试： - `zap-sample.xml` - `nessus-sample.xml` - `burp-sample.json` - `acunetix-sample.xml` ## API 文档 运行后，请查看： - Swagger: http://localhost:8000/docs - ReDoc: http://localhost:8000/redoc ## 支持的扫描器 | 工具 | 格式 | |------|---------| | OWASP ZAP | XML, JSON | | Nessus | XML (.nessus) | | Burp Suite | XML, JSON | | Acunetix | XML | ## v2.0 中的新增功能 - 完整的 OWASP ZAP 集成 - 直接从应用程序运行扫描 - 保存扫描配置 - 实时扫描进度 - 导出扫描结果 ## 常见问题 **无法连接到数据库？** - 确保 Docker 容器正在运行：`docker-compose ps` - 检查 `.env` 中的 DATABASE_URL **AI 没有响应？** - 验证您的 GROQ_API_KEY 已设置 - 在 https://console.groq.com 检查 API 限制 **ZAP 扫描失败？** - 确认已配置 ZAP_API_KEY - 检查 ZAP 容器是否在端口 8090 上运行 ## 许可证 MIT License - 您可以随意使用它。 ## 需要帮助？ - 查看 `/docs` 端点以获取 API 文档 - 查看 `demo-files/` 文件夹中的示例 - 在 GitHub 上提出 issue - 观看上面的演示视频 **请记住：** 该工具分析扫描报告，它不扫描网站。您需要先使用 ZAP/Nessus/等工具运行扫描，然后在此处上传结果。

标签：Acunetix, AV绕过, Burp Suite, Celery, DLL 劫持, Docker, FastAPI, GPT, LangChain, Nessus, OWASP ZAP, PDF生成, PostgreSQL, Python, React, Redis, Syscalls, TypeScript, Web安全, 人工智能, 大语言模型, 安全咨询, 安全扫描, 安全报告生成, 安全插件, 安全防御评估, 实时仪表盘, 密码管理, 开源安全工具, 插件系统, 搜索引擎查询, 无后门, 时序注入, 测试用例, 漏洞分析, 漏洞管理, 漏洞解析, 用户模式Hook绕过, 网络安全, 自动化报告, 蓝队分析, 角色权限控制, 请求拦截, 路径探测, 轻量级, 逆向工具, 逆向工程平台, 隐私保护