arif39x/blue.whale

# Blue Whale  **Blue Whale** 是一款针对 Web 应用程序的高性能快速漏洞发现工具（例如 SQLi、XSS 和 SSRF）。 ## 功能 - **极速运行：** 用于爬取和测试的高并发 Go 引擎。 - **Payload 模板：** `engine/templates/` 中的简单 YAML 文件让您可以轻松添加新的漏洞模式。 - **WAF 绕过：** 自动轮换 User-Agent 和请求头以保持隐蔽。 - **智能技术检测：** 检测技术栈（PHP、React 等）并自动选择最有效的测试方法。 - **深度 Fuzzing：** 能够理解 Web 参数并对其进行智能测试。 ## 设置与安装 ### 环境要求 - **Python 3.11+** - **Go 1.24+** ### 操作步骤 1. **初始化 Python 环境：** python -m venv venv source venv/bin/activate pip install -r requirements.txt 2. **设置 Playwright（用于 DOM XSS 测试）：** playwright install chromium 3. **构建扫描引擎：** python main.py bootstrap --force ## 如何使用 ### 基础扫描 开始扫描目标的最快方法： ``` python main.py scan --target http://example.com ``` ### 高级扫描配置 - **Aggressive：** 更高的速度和更深度的测试。 python main.py scan -t http://example.com --profile aggressive - **Stealth：** 较低的速度并带有随机延迟，用于绕过 WAF。 python main.py scan -t http://example.com --profile stealth ### 自定义请求头 提供授权 token 或会话 cookie： ``` python main.py scan -t http://example.com -H "Cookie: session=123" ``` ## ⌨️ 命令参考 ### 扫描选项 | 命令 | 描述 | | :------------- | :--------------------------------------- | | `-t, --target` | 目标网站的 URL | | `--profile` | `standard`、`aggressive` 或 `stealth` | | `--rpm` | 设置特定速度（每分钟请求数，Requests Per Minute） | | `--format` | 输出格式（例如 `pdf`、`json`） | ### 管理 | 命令 | 描述 | | :-------------------------------------- | :---------------------------------- | | `python main.py report ` | 将扫描结果转换为 PDF 报告 | | `python main.py bootstrap --force` | 重新构建内部 Go 引擎二进制文件 | | `python main.py paths` | 检查并验证本地系统路径 | ## 免责声明 Blue Whale 仅用于**授权的安全测试**。请勿在未获得明确测试许可的系统上使用。作者对因使用此工具而导致的任何误用或损害概不负责。

标签：AppImage, Chromium, CISA项目, DOE合作, DOM XSS, Go语言, Playwright, Python, SSRF, WAF绕过, Web安全, Web应用防火墙, XSS, YAML模板, 反取证, 安全测试, 安全评估, 并发扫描, 攻击性安全, 无后门, 日志审计, 服务器端请求伪造, 深度爬取, 漏洞情报, 特征检测, 程序破解, 网络安全, 自定义Headers, 蓝队分析, 跨站脚本攻击, 逆向工具, 隐私保护, 高并发