gerardvincelillo/error-intent

# ErrorIntent ErrorIntent 是一个专注于安全自动化的 CLI 工具，用于扫描 URL 以发现详细的错误披露信息，并为安全测试提取可操作的情报。 ## 为什么开发它 冗长的服务端错误可能会暴露敏感的实现细节，从而加速漏洞利用并增加攻击面映射的速度。ErrorIntent 可帮助安全工程师、Bug Bounty 研究人员、渗透测试人员和开发人员通过一致的分类和报告快速识别这些风险暴露。 ## 它能检测什么 (MVP) - Stack traces (Python, Java, .NET, PHP, Node.js) - Framework debug pages (Laravel, Django, Spring Boot, ASP.NET, 通用 debug 指示符) - Database error disclosures (MySQL, PostgreSQL, SQLite, SQLSTATE, MongoDB patterns) - Filesystem path leaks (Linux 和 Windows 路径, 源文件引用) - Internal leak indicators (localhost, private IPs, 内部主机名, package/class 提示) - Generic verbose error messages (未处理异常, 未定义变量, 空指针, 类型/键错误, stack overflow) ## 安装 ### 要求 - Python 3.11+ ### 本地安装 (可编辑模式) ``` pip install -e . ``` ### 验证 ``` python -m error_intent.cli --help ``` 或者，如果你的 Scripts 路径可用： ``` errorintent --help ``` ## 用法 ### 扫描单个 URL ``` errorintent scan https://example.com ``` ### 从文件扫描 URL 列表 ``` errorintent scan urls.txt --file ``` `urls.txt` 示例： ``` https://example.com https://target.tld/debug ``` ### 扫描基础 URL 并追加自定义路径 ``` errorintent scan https://example.com --paths paths.txt ``` `paths.txt` 示例： ``` / /debug /api/test /admin ``` ### 添加自定义 Headers ``` errorintent scan https://example.com --headers headers.txt ``` `headers.txt` 示例： ``` User-Agent: ErrorIntent/0.1 X-Forwarded-For: 127.0.0.1 ``` ### 写入报告 ``` errorintent scan https://example.com --json reports/scan.json --md reports/scan.md ``` ## CLI 参考 ``` errorintent scan [--file] [--paths ] [--headers ] [--timeout ] [--json ] [--md ] ``` - ``: URL 或当使用 `--file` 时的 URL 列表文件路径 - `--file`: 将 `` 视为文件输入 - `--paths`: 将文件中的路径追加到基础 URL 目标 - `--headers`: 从文件添加请求 headers (`Key: Value`) - `--timeout`: 请求超时时间（秒）（默认值：10） - `--json`: 写入结构化 JSON 输出 - `--md`: 写入 Markdown 报告 ## 示例输出 ``` ErrorIntent Summary Scanned URLs: 12 Interesting findings: 4 [HIGH] https://example.com/debug - Laravel debug page detected - Stack trace present - File path disclosure found [MEDIUM] https://example.com/api/test - SQL error pattern detected - MySQL syntax clue found Technology hints: - Laravel - PHP - MySQL ``` ## 限制 (当前 MVP) - 基于签名的检测可能会产生误报/漏报。 - 不会执行或分析动态 JavaScript 渲染的错误。 - 尚无爬虫引擎；扫描是基于目标和路径列表进行的。 - TLS/证书行为取决于本地信任存储配置。 ## 路线图 - 添加并发控制和速率限制 - 添加可选的爬虫模式以进行端点发现 - 添加响应差异 (diffing) 和指纹置信度评分 - 扩展单元/集成测试套件 - 添加 SARIF 和 CI 友好的输出模式 ## 许可证 MIT (参见 `LICENSE`)。

标签：Bug Bounty, C2日志可视化, Python, Web安全, 信息泄露, 可自定义解析器, 堆栈跟踪, 密码管理, 报错注入, 指纹识别, 敏感信息, 文档结构分析, 无后门, 蓝队分析, 逆向工具, 错误检测