dev-somani/Advanced-Security-Assessment-Tool

# 高级安全评估工具 Advanced Security Assessment Tool (ASAT) – 用于网络、子域名、Web 应用、API 和 Cloud 漏洞测试的强大多阶段自动扫描器。具备 5 阶段侦察、OWASP Top 10 映射以及详细的 JSON/Text 报告功能。Happy Hacking! # Happy Hacking - 高级安全评估工具 (ASAT) **Happy Hacking (ASAT)** 是一款专为网络、子域名和 Web 应用程序测试设计的多阶段自动安全评估工具。 ## 前置条件 该工具需要 **Python 3** 以及以下依赖项才能正常运行。 此外，系统需要 `nmap` 来进行高级端口扫描和操作系统检测。 ### 1. 安装系统依赖 ``` # 适用于基于 Debian/Ubuntu 的系统 sudo apt update sudo apt install nmap -y ``` ### 2. 安装 Python 依赖 ``` pip3 install python-nmap requests dnspython whois colorama beautifulsoup4 ``` ## 使用指南 由于脚本使用了原始套接字和 `nmap` 的 SYN 扫描功能，因此必须使用 **Root/Sudo 权限** 运行。 ### 基本用法 对目标运行完整扫描（所有阶段）： ``` sudo python3 happyhacking.py -t --all ``` *示例：* `sudo python3 happyhacking.py -t example.com --all` ### 可用参数 | 参数 | 长参数 | 描述 | | :------- | :-------------- | :---------------------------------------------------------------------------------------------------------------------- | | `-t` | `--target` | **（必需）** 目标域名或 IP 地址。 | | | `--phase` | 要运行的扫描阶段（`1`=Network, `2`=Subdomain, `3`=Web, `4`=API, `5`=Cloud）。可以指定多次。 | | | `--all` | 运行所有扫描阶段（`1`、`2`、`3`、`4` 和 `5`）。 | | `-o` | `--output` | 报告的输出文件。如果未指定，将自动生成一个带时间戳的文件。 | | | `--format` | 报告格式（选项：`txt`、`json`。默认：`txt`）。 | | `-v` | `--verbose` | 启用详细输出，以在执行期间获取更详细的日志。 | | | `--no-banner` | 启动时不显示横幅。 | | `-h` | `--help` | 显示帮助信息并退出。 | ## 🎯 高精度与误报防范 ASAT 采用严格、高度具体的验证逻辑进行工程化设计，旨在实际消除扫描期间的误报漏洞： - **严格的协议验证 (SMB)：** 在断言存在 SMB 签名漏洞之前，会精确验证 `\xffSMB` 或 `\xfeSMB` 魔术字节和包长度。 - **确定性文件验证 (HTTP PUT)：** 在测试 HTTP 动词篡改时，ASAT 不会依赖不可靠的 200/201 状态码，而是主动尝试创建唯一的测试文件，并随后发送 `GET` 请求以验证创建成功和内容持久化。 - **精确的数据库错误匹配 (SQLi)：** 避免使用广泛的关键词匹配（例如 "sql" 或 "driver"），这些词经常会标记常规 Web 内容。相反，它会仔细匹配特定的后端异常，如 `"unclosed quotation mark after the character string"` 或 `"pg_query(): query failed"`。 - **上下文感知的 Payload 反射 (XSS)：** 在标记嵌入的 `