HuginCyber/Hugin
GitHub: HuginCyber/Hugin
一款用 Rust 构建的本地优先 Web 安全测试工具,集拦截代理、漏洞扫描器、Intruder、Repeater 和 AI agent 于单一二进制文件中。
Stars: 0 | Forks: 0
官网 ·
下载 ·
文档 ·
定价
## 什么是 Hugin?
Hugin 是一款使用 Rust 构建的本地优先安全测试工具。单一可执行文件,无需账户,无遥测,无云端。你掌控一切数据流向。
它集成了拦截代理、主动漏洞扫描器、Intruder、Repeater 以及通过 MCP 连接的 AI agent —— 所有这些都包含在一个运行于你本地机器上的单一可执行文件中。
## 功能
### 拦截代理
- HTTP/1.1、HTTP/2、HTTP/3 (QUIC)、WebSocket、WebTransport
- TLS 指纹透传 —— 对于大多数受 TLS 保护的目标,无需 headless browser
- 通过 CDP 和 Marionette 实现浏览器自动化,满足你完整执行 JS 的需求
- 站点地图、请求/响应检查、实时篡改
### 主动扫描器 — 46 项检查
发送 payload 并确认真实的 bug。而非简单的模式匹配器。
| 类别 | 检查项 |
|----------|--------|
| Injection | SQLi、NoSQL、SSTI、命令注入、LDAP、XPath、EL、邮件、SSJS、XML |
| XSS | 反射型、存储型、DOM、原型链污染(客户端 + 服务端) |
| Auth | JWT、OAuth、会话固定、Keycloak、批量赋值、BOLA、IDOR |
| Transport | HTTP 请求走私(CL.TE、TE.CL、H2 降级)、H2 专有、WebSocket |
| Logic | 竞争条件、CSRF、CORS、开放重定向、路径遍历、HPP、文件上传 |
| Advanced | GraphQL + authz、缓存欺骗、缓存投毒、Host 头、XXE、反序列化 |
### 被动扫描器 — 42 项检查
在不发送任何请求的情况下分析流量。能够捕获安全标头、明文密码、敏感 URL、URL 中的会话 token、ViewState 问题、输入反射、Referer 泄露等。
### Intruder
具备 payload 生成器、处理器、grep 匹配和速率控制的 Fuzzer。支持 Snipe positions、battering ram、pitchfork、cluster bomb 模式。
### Repeater
捕获、修改并重放任何请求。支持 HTTP/1.1、HTTP/2 和 HTTP/3 并排对比。
### AI agent — 162 个 MCP 工具
连接 Claude、Cursor 或任何兼容 MCP 的 LLM。该 agent 可以驱动代理、运行扫描检查、分析流量、管理发现结果,并执行完整的测试工作流。
工具涵盖:会话管理、流量捕获与分析、扫描器控制、发现结果分类、OOB 交互轮询、保险库操作、BAC 矩阵测试、指纹识别、爬虫等。
### 竞争条件引擎
采用单数据包和最后字节同步技术。发送并行请求以发现 TOCTOU bug、速率限制绕过和双重支付漏洞。
### OOB 交互检测
内置 OAST 服务器。通过 DNS、HTTP、HTTPS、SMTP、LDAP、FTP 和 SMB 捕获盲交互。无需外部 collaborator。
### Decoder、Sequencer、Comparer
- **Decoder** — URL、Base64、HTML、十六进制、JWT、protobuf
- **Sequencer** — 分析 token 随机性和熵
- **Comparer** — 可视化和逐字节对比两个响应的差异
## 社区版(永久免费)
以上所有功能均为免费。无需账户即可开始使用。无遥测。无时间限制。
## 专业版(Pro) — 每月 7 欧元(一口价)
- 竞争条件引擎(单数据包、最后字节同步)
- 访问控制缺陷审计(IDOR、跨租户、JWT 提权、批量赋值)
- HTTP 请求走私(CL.TE、TE.CL、H2 降级、SmuggleHarvester)
- Synaps WASM 模块(社区扫描器模块,沙箱隔离)
- Lua 扩展(通过脚本修改实时流量)
- 加密的实时协作
- 多项目工作区
- 完整的 162 个工具 MCP 接口
无需订阅。无自动续费。按需付费。
## 学生
GitHub Student Developer Pack 持有者可免费获得 12 个月的专业版(Pro)。无需填写表格,无需上传证明 —— GitHub 已经验证了你的身份。
前往 [hugin.nu/students](https://hugin.nu/students) 领取。
## 下载
| 平台 | 架构 |
|----------|-------------|
| macOS | Apple Silicon (aarch64)、Intel (x86_64) |
| Linux | x86_64、aarch64 |
| Windows | x86_64 |
所有二进制文件均使用 Ed25519 签名。请在 [hugin.nu/verify](https://hugin.nu/verify) 进行验证。
## 隐私
- 无遥测。无分析。无崩溃报告。
- 你的流量绝不会离开你的本地机器。
- 账户采用匿名 ID —— 没有邮箱,没有密码,没有恢复机制。
- 支付通过 Stripe 或 Bitcoin/Monero (BTCPay) 进行。无 KYC。
## 本代码仓库
这是 Hugin 的社区中心。源代码不在此托管。
你可以通过此仓库来:
- **报告 bug** — [提交 bug 报告](../../issues/new?template=bug_report.yml)
- **功能请求** — [提交功能请求](../../issues/new?template=feature_request.yml)
- **交流讨论** — [参与讨论](../../discussions),探讨问题、分享想法并进行社区交流
- **追踪版本发布** — 查看 [Releases](../../releases) 获取更新日志和下载链接
## 链接
- [hugin.nu](https://hugin.nu) — 官网
- [hugin.nu/docs](https://hugin.nu/docs) — 文档
- [hugin.nu/about](https://hugin.nu/about) — 为什么开发 Hugin
- [X / Twitter](https://x.com/HuginCyber) — @HuginCyber
- [LinkedIn](https://www.linkedin.com/company/hugin-cyber) — Hugin Cyber
## 许可证
Hugin 是专有软件。社区版免费使用。详情请参阅 [hugin.nu/pricing](https://hugin.nu/pricing)。
标签:CISA项目, HTTP代理, Modbus, Rust, Web安全, 可视化界面, 数据泄露, 网络流量审计, 蓝队分析