m14r41/PentestingChecklist
GitHub: m14r41/PentestingChecklist
一份数据驱动的渗透测试检查清单,覆盖多平台和技术栈,提供分层浏览、全局搜索、进度跟踪与多格式导出功能。
Stars: 1 | Forks: 0
# Pentesting 检查清单
**一份面向渗透测试人员、安全研究员、漏洞赏金猎人和安全工程师的实用安全评估清单合集。**
静态、私有且免费 —— 这是一个*由你操作的清单*,而不仅仅是供阅读的文档。
## 这是什么
PentestingChecklist 是一个专业的评估伴侣,而不是一个简单的漏洞列表。内容分为四个层级,因此它可以不断扩展,几乎涵盖实际评估中遇到的每一项检查:
```
Platform → Category → Technology / Feature → Checklist Items
Web Application
└── Authentication
├── JWT
│ ├── Weak signature validation
│ ├── Accepting "none" algorithm
│ ├── Algorithm confusion (RS256 → HS256)
│ └── … 16 more
├── OAuth 2.0
├── OpenID Connect
├── SAML
└── Session Management
```
目前它包含 **Web Application**、**API** 和 **Mobile** 平台,涵盖了数十种技术(JWT、OAuth、OIDC、SAML、GraphQL、REST、File Upload、CORS、CSP、Security Headers、Cookies、WebSockets、Caching 等)的数百项检查。Cloud、Network 和 Thick-client 平台已在路线图中。
## 功能
- **分层且可展开的清单** —— 展开/折叠分类和技术,每个部分都会显示条目数量,还提供 **Expand all** / **Collapse all**。展开状态和进度会独立持久化,因此折叠某个部分绝不会影响你的评估。
- **全局搜索**(在任何页面按 ⌘K / Ctrl+K),可跨平台、分类、技术、检查项、描述、标签、工具和参考进行搜索。选择结果即可跳转至该项,自动展开相关部分并高亮显示该条目。
- **进度跟踪** —— 包括总体进度以及按平台/分类/技术的进度,并在浏览器中持久化保存。
- **单项检查备注**,可导出至你的报告中。
- **导出 / 导入** —— 支持 Markdown、CSV、Excel 和 JSON;可重新导入 JSON 以继续之前的进度。
- **数据驱动** —— 每一项检查都是一个类型化对象。添加检查、技术、分类或整个平台都只需进行纯粹的数据编辑;UI 永远不需要改变。
- **静态且适配 GitHub Pages**,具有响应式、无障碍访问以及浅色/深色模式。
## 快速开始
本项目使用 [**bun**](https://bun.sh)。(Docusaurus 要求 Node ≥ 20。)
```
bun install
bun run start # dev server at http://localhost:3000
bun run build # static build into ./build
bun run typecheck # validate types (and the checklist schema)
bun test # validate the checklist data (unique ids, references, …)
bun run serve # preview the production build
```
## 项目结构
```
src/
data/checklist/
types.ts # the schema (Platform → Category → Technology → Item)
index.ts # registry + build-time uniqueness assertion
search.ts # the global search index, built from the data
categories/*.ts # the content — one file per category
components/Checklist/ # hierarchical renderer (expand, filter, progress, notes)
theme/SearchBar/ # global ⌘K search palette (every page)
pages/
index.tsx # homepage
checklist/*.tsx # the /checklist dashboard + per-platform pages
docs/ # methodology, roadmap, contributing guide
```
## 部署
推送至 `main` 分支,随附的 GitHub Actions 工作流
(`.github/workflows/deploy.yml`)会自动构建并发布至 GitHub Pages。
`organizationName`、`projectName` 以及派生的 `url`/`baseUrl` 位于
[`docusaurus.config.ts`](./docusaurus.config.ts) 中。
## 作者
由 **[m14r41](https://github.com/m14r41)** 构建和维护 —
[GitHub](https://github.com/m14r41) · [LinkedIn](https://www.linkedin.com/in/M14R41/)。
如果这个项目对你有帮助,请在 GitHub 上给仓库点个 ⭐。
## 许可证
[MIT](./LICENSE)。清单内容参考了公共标准(OWASP 等);
这些标准仍保留其各自的许可证。
标签:API安全, JSON输出, StruQ, Web安全, 反取证, 安全评估, 检查清单, 自动化攻击, 蓝队分析