HuginCyber/Hugin

GitHub: HuginCyber/Hugin

一款用 Rust 构建的本地优先 Web 安全测试工具,集拦截代理、漏洞扫描器、Intruder、Repeater 和 AI agent 于单一二进制文件中。

Stars: 0 | Forks: 0

Hugin — a power tool for web security testing

官网 · 下载 · 文档 · 定价

## 什么是 Hugin? Hugin 是一款使用 Rust 构建的本地优先安全测试工具。单一可执行文件,无需账户,无遥测,无云端。你掌控一切数据流向。 它集成了拦截代理、主动漏洞扫描器、Intruder、Repeater 以及通过 MCP 连接的 AI agent —— 所有这些都包含在一个运行于你本地机器上的单一可执行文件中。 ## 功能 ### 拦截代理 - HTTP/1.1、HTTP/2、HTTP/3 (QUIC)、WebSocket、WebTransport - TLS 指纹透传 —— 对于大多数受 TLS 保护的目标,无需 headless browser - 通过 CDP 和 Marionette 实现浏览器自动化,满足你完整执行 JS 的需求 - 站点地图、请求/响应检查、实时篡改 ### 主动扫描器 — 46 项检查 发送 payload 并确认真实的 bug。而非简单的模式匹配器。 | 类别 | 检查项 | |----------|--------| | Injection | SQLi、NoSQL、SSTI、命令注入、LDAP、XPath、EL、邮件、SSJS、XML | | XSS | 反射型、存储型、DOM、原型链污染(客户端 + 服务端) | | Auth | JWT、OAuth、会话固定、Keycloak、批量赋值、BOLA、IDOR | | Transport | HTTP 请求走私(CL.TE、TE.CL、H2 降级)、H2 专有、WebSocket | | Logic | 竞争条件、CSRF、CORS、开放重定向、路径遍历、HPP、文件上传 | | Advanced | GraphQL + authz、缓存欺骗、缓存投毒、Host 头、XXE、反序列化 | ### 被动扫描器 — 42 项检查 在不发送任何请求的情况下分析流量。能够捕获安全标头、明文密码、敏感 URL、URL 中的会话 token、ViewState 问题、输入反射、Referer 泄露等。 ### Intruder 具备 payload 生成器、处理器、grep 匹配和速率控制的 Fuzzer。支持 Snipe positions、battering ram、pitchfork、cluster bomb 模式。 ### Repeater 捕获、修改并重放任何请求。支持 HTTP/1.1、HTTP/2 和 HTTP/3 并排对比。 ### AI agent — 162 个 MCP 工具 连接 Claude、Cursor 或任何兼容 MCP 的 LLM。该 agent 可以驱动代理、运行扫描检查、分析流量、管理发现结果,并执行完整的测试工作流。 工具涵盖:会话管理、流量捕获与分析、扫描器控制、发现结果分类、OOB 交互轮询、保险库操作、BAC 矩阵测试、指纹识别、爬虫等。 ### 竞争条件引擎 采用单数据包和最后字节同步技术。发送并行请求以发现 TOCTOU bug、速率限制绕过和双重支付漏洞。 ### OOB 交互检测 内置 OAST 服务器。通过 DNS、HTTP、HTTPS、SMTP、LDAP、FTP 和 SMB 捕获盲交互。无需外部 collaborator。 ### Decoder、Sequencer、Comparer - **Decoder** — URL、Base64、HTML、十六进制、JWT、protobuf - **Sequencer** — 分析 token 随机性和熵 - **Comparer** — 可视化和逐字节对比两个响应的差异 ## 社区版(永久免费) 以上所有功能均为免费。无需账户即可开始使用。无遥测。无时间限制。 ## 专业版(Pro) — 每月 7 欧元(一口价) - 竞争条件引擎(单数据包、最后字节同步) - 访问控制缺陷审计(IDOR、跨租户、JWT 提权、批量赋值) - HTTP 请求走私(CL.TE、TE.CL、H2 降级、SmuggleHarvester) - Synaps WASM 模块(社区扫描器模块,沙箱隔离) - Lua 扩展(通过脚本修改实时流量) - 加密的实时协作 - 多项目工作区 - 完整的 162 个工具 MCP 接口 无需订阅。无自动续费。按需付费。 ## 学生 GitHub Student Developer Pack 持有者可免费获得 12 个月的专业版(Pro)。无需填写表格,无需上传证明 —— GitHub 已经验证了你的身份。 前往 [hugin.nu/students](https://hugin.nu/students) 领取。 ## 下载 | 平台 | 架构 | |----------|-------------| | macOS | Apple Silicon (aarch64)、Intel (x86_64) | | Linux | x86_64、aarch64 | | Windows | x86_64 | 所有二进制文件均使用 Ed25519 签名。请在 [hugin.nu/verify](https://hugin.nu/verify) 进行验证。 ## 隐私 - 无遥测。无分析。无崩溃报告。 - 你的流量绝不会离开你的本地机器。 - 账户采用匿名 ID —— 没有邮箱,没有密码,没有恢复机制。 - 支付通过 Stripe 或 Bitcoin/Monero (BTCPay) 进行。无 KYC。 ## 本代码仓库 这是 Hugin 的社区中心。源代码不在此托管。 你可以通过此仓库来: - **报告 bug** — [提交 bug 报告](../../issues/new?template=bug_report.yml) - **功能请求** — [提交功能请求](../../issues/new?template=feature_request.yml) - **交流讨论** — [参与讨论](../../discussions),探讨问题、分享想法并进行社区交流 - **追踪版本发布** — 查看 [Releases](../../releases) 获取更新日志和下载链接 ## 链接 - [hugin.nu](https://hugin.nu) — 官网 - [hugin.nu/docs](https://hugin.nu/docs) — 文档 - [hugin.nu/about](https://hugin.nu/about) — 为什么开发 Hugin - [X / Twitter](https://x.com/HuginCyber) — @HuginCyber - [LinkedIn](https://www.linkedin.com/company/hugin-cyber) — Hugin Cyber ## 许可证 Hugin 是专有软件。社区版免费使用。详情请参阅 [hugin.nu/pricing](https://hugin.nu/pricing)。
标签:CISA项目, HTTP代理, Modbus, Rust, Web安全, 可视化界面, 数据泄露, 网络流量审计, 蓝队分析