MFAIZAN20/SecurityNexus

# SecurityNexus: 全栈网络安全评估平台 SecurityNexus 是一个面向专业渗透测试、安全审计和教育的全栈网络安全评估平台。     一个面向安全专业人士和研究人员的综合渗透测试框架。 快速开始： ``` ./launcher.sh ``` [功能](#features) • [安装](#installation) • [快速开始](#quick-start) • [文档](#module-documentation) • [法律声明](#legal-disclaimer) - `DOCUMENTATION.md` — 综合指南、设置说明、使用方法和参考资料。 ## 目录 - [概述](#概述) - [功能](#功能) - [架构](#架构) - [安装](#安装) - [快速开始](#快速开始) - [模块文档](#模块文档) - [法律免责声明](#法律免责声明) - [贡献](#贡献) ## 概述 SecurityNexus 是一个企业级网络安全评估平台，专为渗透测试、漏洞评估和安全研究设计。基于 Python 3.8+，它提供 23+ 个专用模块，涵盖 Web 应用安全、网络侦察、OSINT 和高级攻击技术。 ### 主要亮点 - **23+ 安全模块** — 全面覆盖攻击向量 - **高级侦察** — 子域名枚举、端口扫描、服务检测 - **Web 攻击利用** — SQL 注入、XSS、SSRF、JWT 攻击、目录爆破 - **网络分析** — 具备 OS 检测和指纹识别的端口扫描 - **OSINT 能力** — 邮件收集和元数据提取 - **自动化报告** — 带严重性分类的 JSON 报告 - **交互式启动器** — 统一 CLI 接口 - **安全加固** — 系统加固和应急响应工具 ## 功能 ### Web 应用攻击 | 模块 | 描述 | 关键特性 | |------|------|----------| | **SQL 注入** | 高级 SQLi 测试（8+ 种技术） | 联合查询、布尔型、基于时间的、错误型、堆叠查询 | | **XSS 攻击** | 跨站脚本漏洞扫描器 | 反射型、存储型、DOM 型、多态载荷、WAF 绕过 | | **SSRF 扫描器** | 服务器端请求伪造利用 | 云元数据提取（AWS/GCP/Azure）、内网端口扫描、20+ 绕过技术 | | **JWT 分析器** | JSON Web Token 安全测试 | `none` 算法攻击、弱密钥暴力破解、RS256→HS256 混淆、头部注入 | | **目录爆破** | 隐藏目录和文件发现 | 100+ 高价值路径、敏感文件检测、CMS 特定目标 | | **暴力破解** | 认证暴力破解 | 多线程、自定义字典、表单和 HTTP 基本认证 | ### 网络侦察 | 模块 | 描述 | 关键特性 | |------|------|----------| | **高级端口扫描器** | 智能企业级端口扫描 | OS 检测（TTL 分析）、服务版本识别、CVE 查询、横幅抓取 | | **高级服务识别器** | 服务指纹识别与 CVE 集成 | 版本特定漏洞利用建议、攻击向量 | | **高级 Web 爬虫** | 智能网页爬取 | JavaScript 分析、API 发现、表单提取、漏洞模式识别 | | **子域名扫描器** | 子域名枚举与接管检测 | DNS 爆破（200+ 子域名）、证书透明度日志、接管检测（15+ 服务） | | **技术指纹识别器** | 技术栈识别 | WAF 检测（20+ 厂商）、CMS/框架识别、服务器识别 | | **服务枚举器** | 高级服务枚举 | MySQL、FTP、cPanel 侦察 | ### OSINT 与信息收集 | 模块 | 描述 | 关键特性 | |------|------|----------| | **邮件收集器** | 从网站收集邮箱 | 多源收集、模式验证、域名过滤 | | **元数据提取器** | 文件元数据分析 | PDF、图片（EXIF）、Office 文档、位置数据 | ### 安全加固 | 模块 | 描述 | 关键特性 | |------|------|----------| | **系统加固** | Linux 安全加固 | 防火墙配置、SSH 加固、服务禁用、用户审计 | | **应急响应** | 快速事件响应 | 威胁检测、日志分析、网络监控、备份创建 | ### 漏洞 Web 应用 | 组件 | 描述 | 用途 | |------|------|------| | **Flask WebApp** | 故意设计漏洞的 Web 应用 | 实践 SQL 注入、XSS、CSRF、命令注入、文件上传漏洞 | ## 架构 ``` SecurityNexus/ ├── attack_modules/ ├── network_attacks/ ├── osint_module/ ├── security_tools/ ├── vulnerable_webapp/ ├── reporting/ ├── reports/ ├── launcher.sh ├── requirements.txt └── DOCUMENTATION.md ``` ## 安装 ### 先决条件 - Python 3.8+（已在 3.8、3.9、3.10、3.11、3.13 上测试） - Linux（推荐 Ubuntu/Debian/Kali） - Git ### 步骤 1：克隆仓库 ``` git clone https://github.com/MFAIZAN20/SecurityNexus.git cd SecurityNexus ``` ### 步骤 2：创建虚拟环境 ``` python3 -m venv venv source venv/bin/activate # Linux/macOS # venv\Scripts\activate # Windows ``` ### 步骤 3：安装依赖 ``` pip install -r requirements.txt ``` ### 步骤 4：验证安装 ``` chmod +x launcher.sh ./launcher.sh ``` ## 快速开始 ### 启动交互式菜单 ``` ./launcher.sh ``` ### 快速站点审计（指纹识别 + 爬取 + 爆破） ``` python site_audit.py https://example.com --depth 2 --max-urls 150 --max-paths 80 --timeout 10 # 代理/TLS 选项： python site_audit.py https://example.com --proxy http://127.0.0.1:8080 --insecure ``` ## 模块文档 详细的模块级用法和示例可在以下位置获取： - `DOCUMENTATION.md` ## 漏洞 Web 应用 SecurityNexus 包含一个故意设计漏洞的 Flask Web 应用供练习： ``` cd vulnerable_webapp python app.py # 访问 http://localhost:5000 ``` 可用漏洞包括 SQL 注入、XSS、CSRF、命令注入、不安全的文件上传处理和 IDOR 模式。 ## 报告 所有模块会在 `reports/` 目录中生成 JSON 报告。 ## 法律免责声明 本工具仅供 **教育和授权测试** 使用。 ### 授权活动 - 测试您拥有的系统 - 持有书面许可的安全研究 - 签署合同的渗透测试 - 受控的教育环境 - 明确授权的漏洞赏金计划 ### 禁止活动 - 未经授权访问您不拥有的系统 - 未经明确书面许可的测试 - 恶意攻击或数据窃取 - 违反计算机滥用法律的行为 使用 SecurityNexus 即表示您同意获得授权、遵守所有适用法律并以道德方式使用该平台。 ### 代码规范 - 遵循 PEP 8 - 为函数和类添加文档字符串 - 在适当位置添加类型提示 - 编写描述性提交信息 - 提交前进行测试 ## 许可证 本项目根据 **教育使用许可证** 授权。 - 仅限教育和研究用途 - 测试前需获得授权 - 未经许可不得用于商业用途 - 不提供任何担保或责任 ## 联系方式 - **作者**：Faizan - **GitHub**：https://github.com/MFAIZAN20/SecurityNexus - **项目**：SecurityNexus — 全栈网络安全评估平台 - **问题**：请使用 GitHub Issues 提交错误报告和功能请求 ## 路线图 - [ ] 自动漏洞利用生成 - [ ] 基于 ML 的漏洞检测 - [ ] 云安全测试（AWS、Azure、GCP） - [ ] API 安全测试框架 - [ ] 移动应用安全测试 - [ ] 高级钓鱼模拟 - [ ] Docker 容器化 - [ ] Web 界面 如果该项目对您有帮助，请考虑给仓库加星。

标签：ESC4, Flask, JSON报告, JWT攻击, OSINT, Python, Scrypt密钥派生, SSRF, XSS, 交互式CLI, 企业级安全平台, 侦察模块, 元数据提取, 全栈, 反取证, 子域名枚举, 安全分析, 安全评估, 教育实验, 数据统计, 无后门, 服务指纹识别, 渗透测试框架, 漏洞应用, 漏洞情报, 目录爆破, 端口扫描, 系统安全, 网络安全, 自动化攻击, 进程保护, 逆向工具, 邮箱收集, 防御, 隐私保护