DrajatAkbarr/Bug-Bounty-Agent
GitHub: DrajatAkbarr/Bug-Bounty-Agent
一个基于AI的漏洞赏金代理,通过混合架构简化红队工作流并生成即用PoC代码。
Stars: 1 | Forks: 0
# 漏洞赏金代理
## 核心架构与特性 - **混合拦截路由:** 在前端本地处理基础概念和教育性查询。这降低了 API 延迟,并有效绕过了通常会拦截通用安全问题的严格大语言模型安全过滤器。 - **纯 PoC 提取:** 强制后端 AI 生成原始、无注释的利用代码,避免不必要的道德说教、警告或泛泛解释。 - **安全终端渲染:** 实现 DOMPurify 以安全地渲染浏览器界面内生成的代码和载荷,在操作过程中化解自XSS风险。 - **多语言支持:** 通过专用的编译器选择器,针对特定编程语言(Python、Go、Bash、JavaScript、Ruby、PHP)优化载荷生成。 ## 要求与外部依赖 该应用程序依赖以下关键模块和库来处理以安全为中心的仪表板架构、后端 API 集成和渲染安全控制: - **@google/generative-ai:** 用于将后端与 Google Gemini API 连接,执行核心提示和提取高级 PoC 代码。 - **dotenv:** 安全地管理环境变量,防止敏感 API 密钥意外泄露。 - **express:** 为应用架构提供精简、健壮的 Web 服务器路由框架。 - **dompurify:** 客户端净化工具,用于在执行原始终端渲染前,剥离恶意 HTML/XSS 载荷。 - **jsdom:** 后端需要它来提供一个 DOM 环境,以便 DOMPurify 能在原生浏览器上下文之外安全运行。 ## 用法与示例提示 该代理对结构化、技术性的提示响应最佳。执行前请从下拉菜单中选择目标语言。 ### 概念查询(前端处理) - "解释网络安全中 XSS 的定义" - "SSRF 漏洞是什么意思?" - "DDoS 攻击是如何工作的?" - "在网站中查找漏洞 bug 的教程" ### 漏洞生成(后端处理) **1. Golang 场景:网络异常检测系统抗性测试** _选择下拉项:Go_ 此提示非常适合展示低级网络流量模拟,仿佛在审计 DNS 隧道检测系统。 **2. Python 场景:后端架构审计(竞态条件)** _选择下拉项:Python_ 演示针对风险管理仪表板业务逻辑的安全测试。 **3. JavaScript 场景:云基础设施利用(SSRF)** _选择下拉项:JS_ 现代漏洞赏金场景,用于通过 Node.js 后端穿透云元数据(AWS/GCP)。 **4. Bash 场景:本地权限提升(服务器自动化)** _选择下拉项:Bash_ 展示为系统管理员或红队成员编写纯 Linux 终端脚本的能力。 **5. Ruby/PHP 场景:服务端模板注入(SSTI)** _选择下拉项:Ruby 或 PHP_ 经典的 Web 漏洞利用场景,最终可导致远程代码执行(RCE)。 ## 安装与设置 1. 克隆仓库: `git clone https://github.com/DrajatAkbarr/Bug-Bounty-Agent.git` 2. 进入项目目录: `cd Bug-Bounty-Agent` 3. 安装依赖: `npm install` 4. 通过创建 `.env` 文件配置环境变量,并在其中安全地添加您的 API 密钥: `GEMINI_API_KEY=your_google_gemini_api_key_here` `PORT=3000` 5. 初始化应用程序: `npm start` ## 免责声明 本项目严格用于教育目的、授权的红队模拟和学术安全研究。开发者不承担任何责任,对于因使用此应用程序或其生成的载荷而导致的任何误用、损害或非法活动概不负责。
## 核心架构与特性 - **混合拦截路由:** 在前端本地处理基础概念和教育性查询。这降低了 API 延迟,并有效绕过了通常会拦截通用安全问题的严格大语言模型安全过滤器。 - **纯 PoC 提取:** 强制后端 AI 生成原始、无注释的利用代码,避免不必要的道德说教、警告或泛泛解释。 - **安全终端渲染:** 实现 DOMPurify 以安全地渲染浏览器界面内生成的代码和载荷,在操作过程中化解自XSS风险。 - **多语言支持:** 通过专用的编译器选择器,针对特定编程语言(Python、Go、Bash、JavaScript、Ruby、PHP)优化载荷生成。 ## 要求与外部依赖 该应用程序依赖以下关键模块和库来处理以安全为中心的仪表板架构、后端 API 集成和渲染安全控制: - **@google/generative-ai:** 用于将后端与 Google Gemini API 连接,执行核心提示和提取高级 PoC 代码。 - **dotenv:** 安全地管理环境变量,防止敏感 API 密钥意外泄露。 - **express:** 为应用架构提供精简、健壮的 Web 服务器路由框架。 - **dompurify:** 客户端净化工具,用于在执行原始终端渲染前,剥离恶意 HTML/XSS 载荷。 - **jsdom:** 后端需要它来提供一个 DOM 环境,以便 DOMPurify 能在原生浏览器上下文之外安全运行。 ## 用法与示例提示 该代理对结构化、技术性的提示响应最佳。执行前请从下拉菜单中选择目标语言。 ### 概念查询(前端处理) - "解释网络安全中 XSS 的定义" - "SSRF 漏洞是什么意思?" - "DDoS 攻击是如何工作的?" - "在网站中查找漏洞 bug 的教程" ### 漏洞生成(后端处理) **1. Golang 场景:网络异常检测系统抗性测试** _选择下拉项:Go_ 此提示非常适合展示低级网络流量模拟,仿佛在审计 DNS 隧道检测系统。 **2. Python 场景:后端架构审计(竞态条件)** _选择下拉项:Python_ 演示针对风险管理仪表板业务逻辑的安全测试。 **3. JavaScript 场景:云基础设施利用(SSRF)** _选择下拉项:JS_ 现代漏洞赏金场景,用于通过 Node.js 后端穿透云元数据(AWS/GCP)。 **4. Bash 场景:本地权限提升(服务器自动化)** _选择下拉项:Bash_ 展示为系统管理员或红队成员编写纯 Linux 终端脚本的能力。 **5. Ruby/PHP 场景:服务端模板注入(SSTI)** _选择下拉项:Ruby 或 PHP_ 经典的 Web 漏洞利用场景,最终可导致远程代码执行(RCE)。 ## 安装与设置 1. 克隆仓库: `git clone https://github.com/DrajatAkbarr/Bug-Bounty-Agent.git` 2. 进入项目目录: `cd Bug-Bounty-Agent` 3. 安装依赖: `npm install` 4. 通过创建 `.env` 文件配置环境变量,并在其中安全地添加您的 API 密钥: `GEMINI_API_KEY=your_google_gemini_api_key_here` `PORT=3000` 5. 初始化应用程序: `npm start` ## 免责声明 本项目严格用于教育目的、授权的红队模拟和学术安全研究。开发者不承担任何责任,对于因使用此应用程序或其生成的载荷而导致的任何误用、损害或非法活动概不负责。
标签:AI助手, AI安全助手, Bug Bounty, GNU通用公共许可证, Go语言, IPv6支持, MITM代理, Node.js, PoC生成, Python, 代码生成, 可自定义解析器, 多语言支持, 安全测试框架, 安全渲染, 工作流优化, 数据展示, 无后门, 日志审计, 概念验证, 概念验证代码, 模拟仪表板, 混合架构, 渗透测试工具, 漏洞赏金工具, 程序破解, 红队, 终端渲染, 网络安全, 自定义脚本, 过滤器绕过, 进攻性安全, 逆向工具, 隐私保护