X0CBAN/Harness
GitHub: X0CBAN/Harness
Harness 是一个开源的 HTTP 代理和 Web 安全测试框架,集成了请求拦截、重放、模糊测试、爬虫、密钥扫描及 Nuclei/SQLMap 集成等核心渗透测试功能。
Stars: 16 | Forks: 0
Harness
一个开源的 HTTP 代理和 Web 安全测试框架。
## 包含功能
### Proxy
完整的 MITM HTTP/HTTPS 拦截。
- 在传输过程中暂停请求,编辑原始文本,然后 Forward 或 Drop
- 也支持拦截响应——在浏览器看到它们之前进行修改
- Forward All 会立即清空队列
- Scope filter——将捕获限制在特定的主机(glob 或 regex)
- 每次重启时都会清空 History,让你从头开始
- 点击任意行,查看完整的请求和响应,并提供 Raw / Hex / Render 视图
- 右键点击任意行 → Send to Repeater / Intruder / SQLMap


### Repeater
重放和修改单个请求。
- 多个命名标签页
- Follow-redirects 开关
- 响应面板:Raw · Hex dump · Rendered HTML · Pretty JSON
- 在响应正文中进行 Grep 搜索
- 右键点击编码/解码(URL、Base64、HTML entities、hex)

### Intruder
参数化模糊测试工具。
**模式:**
| 模式 | 行为 |
|---|---|
| Sniper | 一个 payload 集合,每次替换一个位置 |
| Battering Ram | 一个 payload 集合,同时替换所有位置 |
| Pitchfork | 多个 payload 集合,同步推进 |
| Cluster Bomb | 多个 payload 集合,进行完整的笛卡尔积组合 |
**Payloads:**
- 直接粘贴或从文件加载——大文件采用流式处理,不会加载到 RAM 中
- 14 种转换方式:URL 编码/解码、Base64 编码/解码、MD5、SHA-256、Hex 编码/解码、HTML 编码、大写、小写、反转、添加前缀、添加后缀
**结果:**
- 表格包含:索引、payload、状态、长度、持续时间、grep 匹配项
- 点击任意行 → 弹出模态框,包含 Request / Raw / Headers / Body / Hex / Render 标签页
- Session 标签页——在多个攻击配置之间切换而不丢失结果

### Crawler
带有可视化图表的主动爬虫。
- 跟踪 `
`、`