BP202302/hexforge-security-lite

GitHub: BP202302/hexforge-security-lite

一款零依赖的被动式 Web 安全扫描器,通过 17 个分析模块对目标网站进行低噪音的安全基线检查和攻击面映射,每条发现都附带置信度、证据与可操作建议。

Stars: 1 | Forks: 0

HexForge Security # HexForge Security Lite **被动式 Web 安全分析。低噪音。清晰的证据。拒绝虚张声势。** [![Version](https://img.shields.io/badge/version-1.8.5--community-00ffc8?style=flat-square&logo=github)](https://github.com/BP202302/hexforge-security-lite) [![Python](https://img.shields.io/badge/python-3.8%2B-blue?style=flat-square&logo=python&logoColor=white)](https://python.org) [![License](https://img.shields.io/badge/license-Non--Commercial-orange?style=flat-square)](LICENSE) [![Demo](https://img.shields.io/badge/demo-live-brightgreen?style=flat-square&logo=render)](https://hexforge-security-lite.onrender.com) [![Zero Dependencies](https://img.shields.io/badge/dependencies-zero-00ffc8?style=flat-square)](#) [![Languages](https://img.shields.io/badge/languages-7-blueviolet?style=flat-square)](#multi-language-support) ### 🌐 [在线演示](https://hexforge-security-lite.onrender.com) · [GitHub](https://github.com/BP202302/hexforge-security-lite) · [支持项目 ❤️](https://www.paypal.com/donate/?hosted_button_id=S3335NNBYZXES)
## 什么是 HexForge Security Lite? HexForge Security Lite 是一个**被动式 Web 安全扫描器**,使用纯 Python 从零开始构建 —— 没有框架,没有 pip 依赖,没有臃肿代码。 它的设计基于一个理念: 大多数扫描器会向你抛出 200 个发现结果,其中 180 个是噪音。HexForge Lite 为你提供真正重要的内容,解释清晰,并附带置信度评分和可操作的建议。 它**不是**一款攻击性工具。它不会进行暴力破解、模糊测试 Payload、绕过身份验证或利用任何漏洞。它只负责读取、观察和报告。 ## 快速开始 ``` # 1. Clone git clone https://github.com/BP202302/hexforge-security-lite cd hexforge-security-lite # 2. Run (无需 pip install) python3 -B server.py # 3. 打开 # http://127.0.0.1:8000 ``` 就是这样。无需虚拟环境,无需 Docker,无需配置文件。只需 Python 3。 ## 检查内容 HexForge Lite 在两个类别中运行 **17 个被动模块**: ### 🔒 安全审查 |模块 |检查内容 | |--------------------|------------------------------------------------------------| |`SecurityHeaders` |缺失的防御性 Header(CSP、HSTS、X-Frame-Options 等)| |`Clickjacking` |Frame 嵌入保护 | |`CorsPolicy` |CORS 错误配置和通配符源风险 | |`CookieFlags` |Secure、HttpOnly、SameSite 属性审查 | |`TlsBasics` |TLS 版本和证书过期时间 | |`CachePolicy` |敏感内容缓存风险 | |`RedirectPolicy` |开放重定向指标 | |`ContentType` |MIME 嗅探和 Content-Type 不匹配 | |`MetadataExposure` |服务器横幅、Generator 标签、版本泄露 | |`CommentsExposure` |HTML 中的内部注释、调试注释 | |`EmailTokenExposure`|可见 HTML 中的电子邮件、JWT 片段、Token | |`ExternalResources` |第三方脚本和样式依赖 | |`MixedContent` |HTTPS 页面内的 HTTP 资源 | ### 🗺️ 攻击面映射 |模块 |映射内容 | |---------------|-------------------------------------------------| |`ClientSurface`|同源路由、API 路径、JS 包分析| |`FormsBasics` |表单操作、方法、输入字段名称 | |`RobotsSitemap`|`robots.txt`、`sitemap.xml` 暴露的路径 | |`SecurityTxt` |RFC 9116 披露的联系方式发现 | ## Pipeline 工作原理 ``` URL input │ ▼ Normalize & validate │ ▼ Fetch safely (headers + HTML + TLS) │ ▼ Run 17 passive modules in parallel │ ▼ Validate findings (anti-noise layer) │ ▼ Deduplicate overlapping results │ ▼ Score conservatively by severity │ ▼ Render report with evidence + confidence + recommendations ``` 每项发现包括: - **严重性** — Critical / High / Medium / Low / Informational - **置信度** — High / Medium / Low - **证据** — 具体观察到的内容 - **建议** — 应对此问题的操作建议 - **精度说明** — Lite 没有执行的操作(让你了解其局限性) ## 与众不同之处 | |HexForge Lite |典型的免费扫描器| |---------------------|----------------------|---------------------| |依赖项 |**零** |许多 | |误报率 |**设计上即保持低水平** |高 | |发现结果解释 |**清晰 + 可操作**|技术噪音 | |攻击面映射 |**是** |极少包含 | |多语言 UI |**7 种语言** |仅限英语 | |反噪音验证器|**是** |否 | |部署耗时 |**< 30 秒** |数分钟到数小时 | |攻击性功能 |**无(故意设计)**|通常包含 | ## API 使用 ``` curl -X POST https://hexforge-security-lite.onrender.com/api/scan \ -H "Content-Type: application/json" \ -d '{"url":"https://example.com"}' ``` 或本地运行: ``` curl -X POST http://127.0.0.1:8000/api/scan \ -H "Content-Type: application/json" \ -d '{"url":"https://your-authorized-target.com"}' ``` 响应包含:发现结果、严重性摘要、攻击面映射、TLS 信息、版本和时间戳。 ## CLI 使用 ``` python3 -B cli/hexforge.py https://example.com ``` ## 自检和测试 ``` # 受控的本地自检 (无需网络) python3 -B scripts/self_check.py # Unit test 套件 python3 -B -m unittest discover tests ``` 自检运行 12 个受控的实验室配置文件,涵盖:Header 检查、CORS、Cookie、TLS、表单、混合内容、JWT 暴露、Robots 文件、客户端攻击面以及 security.txt。 ## 多语言支持 界面和发现结果标签支持以下语言: 🇪🇸 西班牙语   🇺🇸 英语   🇧🇷 葡萄牙语   🇯🇵 日语   🇨🇳 中文   🇸🇦 阿拉伯语   🇮🇳 印地语 ## 项目结构 ``` hexforge-security-lite/ ├── hexforge_lite/ │ ├── engine/ # Scanner orchestration │ ├── modules/ # 17 passive analysis modules │ ├── validators/ # Anti-noise and dedup layer │ ├── scoring/ # Conservative risk scoring │ └── output/ # Finding formatter ├── website/ # Web UI (HTML/CSS/JS) ├── api/ # API route handlers ├── cli/ # CLI entrypoint ├── tests/ # Unit tests ├── scripts/ # Self-check and runners ├── docs/ # Architecture and validation notes ├── benchmarks/ # DVWA and Juice Shop lab notes ├── datasets/ # Reference data (headers, CORS patterns) └── rules/ # Rule definitions ``` ## 负责任地使用 HexForge Security Lite 适用于: - ✅ 你自己的系统和应用 - ✅ 预发布和实验环境 - ✅ 经授权的安全审查 - ✅ 学习和防御性研究 - ✅ 社区改进 **请勿将其用于你不拥有或未获得明确书面许可进行测试的系统。** ## 路线图 |版本 |状态 |亮点 | |-----------|-----------|-----------------------------------------------------------| |**Lite** |✅ 可用|17 个模块,被动式,开源,免费 | |**Pro** |🔜 即将推出 |多 URL,AI 分析,PDF 报告,高级验证 | |**Specter**|🔜 即将推出 |深度爬虫,Nuclei 集成,团队仪表盘,完整 API| ## 许可证和商标 - 查看 [`LICENSE`](LICENSE) 了解使用条款 - 查看 [`TRADEMARKS.md`](TRADEMARKS.md) 了解品牌和命名限制 HexForge Security 的名称、Logo 和品牌资产均受保留。商业用途、重新命名和 SaaS 转售需获得作者的书面许可。
**© 2026 Brandon Steven Barrera Portillo · HexForge Security Lite · 非商业用途** [hexforgeai.dev](https://hexforgeai.dev/) · [GitHub](https://github.com/BP202302/hexforge-security-lite) · [在线演示](https://hexforge-security-lite.onrender.com)
HexForge Security 名称、Logo 和品牌仍受保护,属于项目资产。
标签:HexForge, IPv6支持, Python, Snort++, Web安全, Web应用扫描器, 安全分析工具, 安全报告, 密码管理, 提示注入检测, 无后门, 网络安全, 蓝队分析, 被动扫描, 资产评估, 轻量级工具, 逆向工具, 隐私保护, 零依赖