EAAI-0/web-vulnerability-pocs

# 🛡️ 个人安全与自动化工具包 在经过授权的漏洞赏金计划和渗透测试期间开发的概念验证、针对性漏洞利用和自动化脚本的精选集合。 本仓库分为两个主要类别：针对性 Web 漏洞利用和工作流自动化。 ## 🎯 针对性漏洞利用 (`/web-pentest`) 旨在测试或利用特定漏洞类别的专用工具。 * **[GraphQL 批量测试器](./web-pentest/graphql-batcher)：** 用于测试 GraphQL 端点是否存在基于数组的资源耗尽 的通用工具。 * **[SQLi 工具包](./web-pentest/sqli-toolkit)：** 用于自动化布尔型、报错型和基于时间的盲注 SQL Injection 的脚本。 * **[CSRF 概念验证](./web-pentest/csrf-pocs)：** 用于窃取凭据和提取 token 的恶意 HTML/JS 载荷。 * **[WebSockets](./web-pentest/websocket-exploits)：** 跨站 WebSocket 劫持 数据外发脚本。 ## ⚙️ 自动化与信息收集 (`/automation-scripts`) 旨在扩展测试规模、处理重复性任务以及处理大型数据集的脚本。 * **[API IDOR 枚举器](./automation-scripts/api-enumeration)：** 自动化跨 API 端点的顺序 ID 测试。 * **[多线程代理爆破](./automation-scripts/auth-testing)：** 快速的、支持代理的身份验证测试器。 *免责声明：本仓库中的所有工具仅出于教育目的和经过授权的安全测试而编写。*

标签：AD攻击面, API安全, Bug Bounty, CISA项目, CSRF, DoS, GraphQL安全, IDOR, JSON输出, PoC, PoC, Python, WebSocket安全, Web安全, 可自定义解析器, 多模态安全, 安全工具集, 数字取证, 数据可视化, 数据展示, 无后门, 暴力破解, 暴力破解, 红队, 网络安全, 自动化脚本, 蓝队分析, 资源耗尽, 越权漏洞, 跨站请求伪造, 逆向工具, 配置错误, 隐私保护