Alirewa/cyber-toolkit

## 什么是 CyberLab？ CyberLab 是一个**个人自托管安全仪表盘**，专为以下人群设计： - 🎯 **漏洞赏金猎人** — 侦察、Header 分析、SSL/证书检查、JWT 解码 - 🔐 **渗透测试人员** — WHOIS、DNS 枚举、技术栈检测、安全 Header 评级 - 🧑‍💻 **安全学习者** — 涵盖 OWASP Top 10、XSS、SQLi、IDOR、SSRF、JWT 攻击的 14 个实操实验室 - 📋 **漏洞管理** — 跟踪发现的漏洞、设定严重程度、生成报告 **无需登录。无 SaaS 费用。无云依赖。** 只需一条 PowerShell 命令，即可在你的 Windows 机器或私人服务器上启动。 ## ✨ 核心功能 | 功能 | 详情 | |---------|---------| | **11 款安全工具** | WHOIS、DNS、SSL、HTTP Headers、Security Headers、Tech Detector、robots.txt、Metadata、Base64、JWT Decoder、Hash Generator | | **14 个漏洞赏金实验室** | XSS（3 种）、CSRF、SQLi、IDOR、认证缺陷、访问控制失效、JWT 错误、速率限制、SSRF、文件上传、OWASP Top 10 顶点项目 | | **漏洞跟踪器** | 记录漏洞及其严重程度（严重/高/中/低）、备注和状态 | | **报告** | 根据你的发现生成并导出渗透测试报告 | | **个人模式** | 无需认证、无多用户、无 JWT 登录 —— 直接进入仪表盘 | | **一条命令启动** | `.\start-local.ps1` 负责处理 Docker 数据库 + 依赖项 + 迁移 + API + Web | ## 🔧 11 款安全工具 ### 网络侦察 | 工具 | 描述 | |------|-------------| | **WHOIS 查询** | 域名注册信息、注册商、创建/过期日期、域名服务器、RDAP 数据 | | **DNS 查询** | 查询任何域名的 A、AAAA、MX、TXT、NS、CNAME 记录 | | **HTTP Header 分析器** | 获取并检查来自任何 URL 的所有 HTTP 响应 Header | | **SSL 证书检查器** | TLS 证书有效性、颁发者、SAN、过期时间、密码套件详情 | ### 分析与指纹识别 | 工具 | 描述 | |------|-------------| | **技术栈检测器** | 识别 CMS、框架、CDN、分析工具、服务器技术 | | **Security Headers 检查器** | 审计安全 Header 并出具 A+ 到 F 级别的报告（HSTS、CSP、X-Frame-Options…） | | **robots.txt 分析器** | 提取 Disallowed 路径、Sitemap、Crawl-delay —— 发现隐藏的 Endpoint | | **Metadata 查看器** | 提取 Open Graph 标签、Twitter 卡片、标题、Favicon 和 Meta 描述 | ### 编码与密码学 | 工具 | 描述 | |------|-------------| | **Base64 编码 / 解码** | 即时编码/解码 —— 完全在浏览器中运行，无网络请求 | | **Hash 生成器** | MD5、SHA-1、SHA-256、SHA-512、SHA3-256、SHA3-512 哈希计算 | | **JWT 解码器** | 无需密钥即可解码并检查 JWT 的 Header、Payload、过期时间 | ## 🧪 14 个漏洞赏金实验室 针对 OWASP Top 10 和常见漏洞赏金漏洞类型的实操练习。 | 实验室 | 难度 | 类别 | |-----|------------|----------| | 反射型 XSS | 初级 | 跨站脚本攻击 (XSS) | | 存储型 XSS | 中级 | 跨站脚本攻击 (XSS) | | 基于 DOM 的 XSS | 高级 | 跨站脚本攻击 (XSS) | | CSRF 基础 | 初级 | 请求伪造 | | SQL 注入基础 | 中级 | 注入 | | IDOR 基础 | 初级 | 访问控制 | | 认证缺陷 | 中级 | 身份验证 | | 访问控制失效 | 中级 | OWASP #1 | | JWT 安全错误 | 中级 | Token 安全 | | 速率限制与暴力破解 | 初级 | 配置错误 | | SSRF 演示（沙箱环境） | 高级 | 服务器端请求伪造 | | 不安全的文件上传（沙箱环境） | 高级 | 远程代码执行 (RCE) | | 安全配置错误 | 初级 | OWASP #5 | | OWASP Top 10 精通 | 高级 | 顶点项目 | 每个实验室包含：**目标**、**提示**、**分步指导** 和 **XP 奖励**。 ## 🚀 快速开始 ### 前置条件 | 要求 | 下载 | |------------|---------| | Docker Desktop | [docker.com/products/docker-desktop](https://www.docker.com/products/docker-desktop/) | | Node.js 20+ | [nodejs.org](https://nodejs.org/) | | pnpm | `npm install -g pnpm` | ### 1. 克隆 ``` git clone https://github.com/Alirewa/cyber-toolkit.git cd cyber-toolkit ``` ### 2. 配置 ``` Copy-Item .env.example .env # 默认配置开箱即用 — 无需修改 ``` ### 3. 启动 ``` .\start-local.ps1 ``` 这个单一的脚本会自动执行以下操作： - ✅ 检查 Docker、Node.js、pnpm 是否已安装 - ✅ 启动一个 PostgreSQL 16 Docker 容器（`cyberlab-db`） - ✅ 安装所有工作区依赖项（`pnpm install`） - ✅ 运行数据库迁移（`prisma db push`） - ✅ 初始化数据库（工具、实验室、本地管理员用户） - ✅ 在 `http://localhost:4001` 启动 API - ✅ 在 `http://localhost:4000` 启动 Web ### 4. 打开 ``` http://localhost:4000 ``` **没有登录界面。** 你将直接进入仪表盘。 ## 🏗️ 架构 ``` cyber-toolkit/ ├── apps/ │ ├── api/ # NestJS 10 — REST API + WebSocket │ │ ├── src/modules/ │ │ │ ├── tools/ # 11 tool handlers (WHOIS, DNS, SSL…) │ │ │ ├── labs/ # Lab engine + progress tracking │ │ │ ├── findings/ # Vulnerability tracker │ │ │ └── reporting/ # Report generation │ │ └── prisma/ # Schema (PostgreSQL) + seed │ └── web/ # Next.js 15 — App Router frontend │ └── src/ │ ├── app/ # Route segments (dashboard, admin) │ └── components/ # UI components (tools, labs, ops) └── packages/ ├── types/ # Shared TypeScript types └── ui/ # Shared UI component library ``` ### 技术栈 | 层级 | 技术 | 版本 | |-------|-----------|---------| | Frontend | Next.js (App Router) | 15 | | UI | Tailwind CSS + Framer Motion | latest | | State | Zustand + TanStack Query | v5 | | Backend | NestJS + TypeScript | 10 | | Database | PostgreSQL（通过 Docker） | 16 | | ORM | Prisma | 5 | | Realtime | Socket.IO | latest | | Monorepo | pnpm workspaces + Turborepo | latest | ### 个人模式 —— 工作原理 CyberLab 旨在作为**单用户个人工具**运行： - **无需认证** —— `BYPASS_AUTH=true` 在每次请求时注入一个模拟的管理员用户 - **无 Redis** —— 替换为内存 `Map` 实现 - **无任务队列** —— 移除 Bull/BullMQ；工具同步执行 - **无登录页面** —— 根路径 `/` 直接重定向到 `/dashboard` - **工具始终可用** —— 工具列表从内存处理器注册表中读取（列出工具无需初始化数据） ## ⚙️ 配置 编辑 `.env`（从 `.env.example` 复制）以进行自定义： ``` # Personal 模式 — 跳过 JWT authentication BYPASS_AUTH=true # Database（由 start-local.ps1 自动管理） DATABASE_URL=postgresql://cyberlab:devpass123@localhost:5432/cyberlab?schema=public # Ports API_PORT=4001 NEXT_PUBLIC_API_URL=http://localhost:4001 ``` ## 🛠️ 开发命令 ``` # 完整启动（推荐） .\start-local.ps1 # 单独命令 pnpm install # Install all deps pnpm dev # Start API + Web in watch mode pnpm build # Build all packages # Database cd apps/api npx prisma db push # Apply schema npx prisma db seed # Seed tools, labs, admin user npx prisma studio # Open DB GUI at localhost:5555 # Type checking pnpm --filter @cyberlab/api exec tsc --noEmit # Check API types pnpm --filter @cyberlab/web exec tsc --noEmit # Check Web types ``` ## 📋 包含内容 ``` Dashboard ├── Security Tools │ ├── All Tools (11) │ ├── Scan History │ └── Saved Targets ├── Bug Bounty Labs │ ├── All Labs (14) │ └── My Progress ├── Findings & Reports │ ├── Findings (CRUD + severity) │ └── Reports (generate + export) ├── Settings │ └── Profile └── Admin Panel ├── Users ├── Audit Logs └── System Health ``` ## ⚠️ 法律与道德使用声明 ## 📄 许可证 MIT —— 详情请参阅 [LICENSE](LICENSE)。

标签：GitHub, GPT, NestJS, StruQ, Web安全, 安全工具箱, 测试用例, 漏洞管理, 漏洞靶场, 自动化攻击, 蓝队分析, 请求拦截, 防御检测