CSPF-Founder/taka-docker

# DARWIS Taka - 自托管部署 [](https://hub.docker.com/r/cysecurity/darwis-taka) [](https://cspf-founder.github.io/taka-docker/) DARWIS Taka 是一个快速、模块化的 Web 漏洞扫描器，使用 Rust 构建。它 将基于规则的检测引擎与可选的 AI 辅助验证、 智能爬虫以及用于管理扫描和审查结果的 Web UI 结合在一起。 此仓库包含用于在您自己的基础设施上的单个容器中 运行 Taka 的 Docker Compose 部署配置。 **完整文档**： ### 亮点 - **广泛的漏洞覆盖** - 检测 SQL 注入、XSS、SSRF、LFI、 命令注入、XXE、SSTI、开放重定向、CORS 和 CSRF 问题、 不安全的 Header 和 Cookie、缓存投毒、HTTP 请求走私、GraphQL 漏洞等。 - **AI 辅助验证** - 可插拔的 LLM 后端（Anthropic、OpenAI、 Gemini、Groq 或本地 Ollama 模型）审查每个 发现背后的证据以减少误报，并可选择建议 额外的 payload 以确认漏洞。 - **智能爬虫** - 具备作用域感知的爬取，支持 `robots.txt` 和 站点地图；可选的无头 Chromium 爬取，适用于 JavaScript 渲染的 应用程序。 - **报告** - 为每次扫描提供可下载的 HTML 和 JSON 报告。 - **Web UI** - 从浏览器运行和监控扫描，配置 AI 验证，检查原始 HTTP 流量，并浏览发现的漏洞。 ## 前置条件 - Docker Engine 20.10+ - Docker Compose v2 - 最低 2 GB RAM（使用基于浏览器的爬虫时推荐 4 GB） - 2 GB 磁盘空间用于镜像和扫描数据 ## 快速开始 1. **克隆此仓库** git clone https://github.com/CSPF-Founder/taka-docker.git cd taka-docker 2. **启动 Taka** docker compose up -d 3. **打开 Web UI** 在浏览器中访问 [http://localhost:7331](http://localhost:7331)。 默认配置即可开箱即用。要覆盖任何设置，请在 `docker-compose.yml` 旁边创建一个 `.env` 文件 - `docker compose` 会自动加载它。 ## AI 验证 AI 辅助验证是可选的 - 扫描器无需它即可运行所有基于规则的 检测。要启用它： 1. 打开位于 [http://localhost:7331](http://localhost:7331) 的面板，进入 **Settings**。 2. 选择您的提供商（Anthropic、OpenAI、Gemini、Groq 或 Ollama）并 粘贴 API 密钥。主要使用 Anthropic Claude 进行测试。 3. 启动扫描时，在扫描配置中启用 **AI verification**。 ## 数据持久化 所有扫描数据都存放在 Docker 命名卷中： - `taka_data` - 挂载到容器内的 `/data`，存放 `taka.db` (SQLite) 以及任何生成的报告 要改用绑定挂载（以便扫描数据存放在您可以 直接浏览的主机目录中），请替换 `docker-compose.yml` 中的 `volumes:` 部分： ``` volumes: - ./data:/data ``` ## 更新 ``` docker compose pull docker compose up -d ``` ## 停止 ``` docker compose down ``` 要删除所有扫描数据（破坏性操作）： ``` docker compose down -v ``` ## 故障排除 **检查日志：** ``` docker compose logs -f taka ``` **检查服务状态：** ``` docker compose ps ``` **Web UI 无法加载：** 确认容器正在运行（`docker compose ps`） 并且 `.env` 中的 `TAKA_PORT` 未被主机上的其他程序占用。 **爬虫遗漏 JavaScript 渲染的页面：** 镜像为此捆绑了 Chromium。 如果无头 Chromium 启动失败，请确保主机至少有 2 GB 的 可用 RAM，并且您的内核允许用户命名空间（大多数现代 Linux 发行版默认允许）。 **AI 验证错误：** 确认 API 密钥已保存在 Web 面板的 **Settings** 下，并且所选提供商与密钥相匹配。

标签：AI辅助验证, AppImage, C2, Chromium, CISA项目, DAST, DevSecOps, DLL 劫持, DNS枚举, Docker Compose, Docker容器化, DOE合作, GPT, GraphQL安全, Rust编程语言, SQL注入检测, SSRF检测, WAF, Web安全, Web应用防火墙, XSS检测, 上游代理, 人工智能安全, 代码生成, 企业安全, 加密, 动态应用安全测试, 反取证, 可视化界面, 合规性, 命令注入, 大语言模型, 安全合规, 安全评估, 恶意软件分析, 无头浏览器, 渗透测试工具, 漏洞扫描器, 漏洞管理, 爬虫技术, 版权保护, 缓存投毒, 网络代理, 网络安全, 网络安全工具, 网络安全扫描, 网络资产管理, 自托管, 蓝队分析, 请求拦截, 请求走私, 越权漏洞, 隐私保护