kingarthurwashere/kyntra-sentinel

# Kyntra Sentinel 🛡️ 由 [Kyntra Technologies](https://kyntra.co.zw) 推出的 **Web 与移动端安全扫描器** · 津巴布韦，哈拉雷 一款强大的终端优先安全工具包，用于扫描 Web 应用、REST API 和基础设施中的漏洞与错误配置。 ## 安装 ``` # Clone the repository git clone https://github.com/kyntra/sentinel.git cd kyntra-sentinel # 创建并激活 virtual environment python3 -m venv .venv source .venv/bin/activate # Install dependencies pip install -r requirements.txt # 作为 CLI tool 安装 pip install -e . ``` ## 快速开始 首先激活虚拟环境，然后运行以下命令： ``` # 激活 environment source .venv/bin/activate # 扫描任意网站 kyntra scan https://example.com # 扫描 Django 应用 kyntra django https://myapp.com # 扫描 Next.js 应用 kyntra nextjs https://myapp.com # 审计 SSL/TLS kyntra ssl example.com # 扫描 REST API kyntra api https://api.example.com # 查看扫描历史 kyntra history # 重新生成最新报告 kyntra report latest --format html # 更新 signatures kyntra update # 列出 plugins kyntra plugins list ``` ## 扫描范围 | 类别 | 检测项 | |-----------------------|--------| | 安全 Header | HSTS、CSP、X-Frame-Options、Referrer-Policy、Permissions-Policy、Server 信息泄露 | | SSL/TLS | 证书有效性、过期时间、弱密码套件、已弃用的协议、自签名证书 | | Cookie 安全性 | HttpOnly、Secure、SameSite、会话过期时间 | | 敏感路径 | .env、.git、phpMyAdmin、管理后台、备份文件、调试 endpoint | | 注入 | SQL 注入（基于错误）、XSS、SSTI、开放重定向、CORS 错误配置 | | API 安全性 | 未经身份验证的 endpoint、速率限制、API key 泄露 | | Django 特定检测 | DEBUG 模式、管理后台暴露、CSRF、SECRET_KEY 泄露 | | Next.js 特定检测 | Source map、env 泄露、未经身份验证的 API 路由、开发者模式 | ## 严重程度级别 | 级别 | 描述 | |----------|-------------| | 💀 CRITICAL | 紧急风险 — 极有可能被主动利用 | | 🔴 HIGH | 严重漏洞，需要紧急修复 | | 🟡 MEDIUM | 显著风险，建议尽快处理 | | 🔵 LOW | 轻微问题或安全加固建议 | | ℹ️ INFO | 信息性 — 提供有用的上下文 | ## 报告格式 报告将以 HTML 格式保存到 `reports/` 目录，包含： - 包含风险评分的执行摘要 - 按严重程度分组的完整发现 - 每个发现的证据与修复建议 - 目标元数据（框架、服务器、IP） ## 文件夹结构 ``` kyntra-sentinel/ ├── cli/ │ ├── main.py # CLI entry point │ ├── commands/ # Command handlers │ │ ├── scan.py # kyntra scan │ │ ├── ssl_cmd.py # kyntra ssl │ │ ├── api_cmd.py # kyntra api │ │ ├── django_cmd.py # kyntra django │ │ ├── nextjs_cmd.py # kyntra nextjs │ │ ├── report_cmd.py # kyntra report │ │ ├── history_cmd.py # kyntra history │ │ ├── update_cmd.py # kyntra update │ │ └── plugins_cmd.py # kyntra plugins │ ├── core/ │ │ └── engine.py # Base scanner, data models │ ├── scanners/ # Scanner modules │ │ ├── headers.py # Security headers │ │ ├── ssl_scanner.py # SSL/TLS │ │ ├── cookies.py # Cookie security │ │ ├── paths.py # Path/disclosure │ │ └── injection.py # Auth & injection │ ├── reports/ │ │ └── html_report.py # HTML report generator │ └── database/ │ └── db.py # SQLite scan history ├── tests/ ├── docs/ ├── pyproject.toml └── README.md ``` ## 路线图 - [ ] WordPress 扫描器插件 - [ ] Laravel 扫描器插件 - [ ] Docker 宿主机扫描器 - [ ] Kubernetes 集群扫描器 - [ ] Linux 加固检查 - [ ] PDF 报告导出 - [ ] Web 仪表盘 (React) - [ ] CI/CD 集成 (GitHub Actions) - [ ] Slack/电子邮件通知 ## 法律免责声明 Kyntra Sentinel 仅用于**授权的安全测试**。请仅扫描您拥有或获得明确书面测试许可的系统。未经授权的扫描是违法行为。 © 2026 Kyntra Technologies · 津巴布韦，哈拉雷 · security@kyntra.co.zw

标签：API安全, JSON输出, Python, Web安全, 多模态安全, 实时处理, 密码管理, 文档结构分析, 无后门, 蓝队分析, 调试插件, 逆向工具