X0CBAN/Harness

GitHub: X0CBAN/Harness

Harness 是一个开源的 HTTP 代理和 Web 安全测试框架,集成了请求拦截、重放、模糊测试、爬虫、密钥扫描及 Nuclei/SQLMap 集成等核心渗透测试功能。

Stars: 16 | Forks: 0

Harness

一个开源的 HTTP 代理和 Web 安全测试框架。 ## 包含功能 ### Proxy 完整的 MITM HTTP/HTTPS 拦截。 - 在传输过程中暂停请求,编辑原始文本,然后 Forward 或 Drop - 也支持拦截响应——在浏览器看到它们之前进行修改 - Forward All 会立即清空队列 - Scope filter——将捕获限制在特定的主机(glob 或 regex) - 每次重启时都会清空 History,让你从头开始 - 点击任意行,查看完整的请求和响应,并提供 Raw / Hex / Render 视图 - 右键点击任意行 → Send to Repeater / Intruder / SQLMap ![Proxy 演示](https://raw.githubusercontent.com/X0CBAN/Harness/main/GIFS/proxy.gif) ![History 演示](https://raw.githubusercontent.com/X0CBAN/Harness/main/GIFS/history.gif) ### Repeater 重放和修改单个请求。 - 多个命名标签页 - Follow-redirects 开关 - 响应面板:Raw · Hex dump · Rendered HTML · Pretty JSON - 在响应正文中进行 Grep 搜索 - 右键点击编码/解码(URL、Base64、HTML entities、hex) ![Repeater 演示](https://raw.githubusercontent.com/X0CBAN/Harness/main/GIFS/repeat.gif) ### Intruder 参数化模糊测试工具。 **模式:** | 模式 | 行为 | |---|---| | Sniper | 一个 payload 集合,每次替换一个位置 | | Battering Ram | 一个 payload 集合,同时替换所有位置 | | Pitchfork | 多个 payload 集合,同步推进 | | Cluster Bomb | 多个 payload 集合,进行完整的笛卡尔积组合 | **Payloads:** - 直接粘贴或从文件加载——大文件采用流式处理,不会加载到 RAM 中 - 14 种转换方式:URL 编码/解码、Base64 编码/解码、MD5、SHA-256、Hex 编码/解码、HTML 编码、大写、小写、反转、添加前缀、添加后缀 **结果:** - 表格包含:索引、payload、状态、长度、持续时间、grep 匹配项 - 点击任意行 → 弹出模态框,包含 Request / Raw / Headers / Body / Hex / Render 标签页 - Session 标签页——在多个攻击配置之间切换而不丢失结果 ![Intruder 演示](https://raw.githubusercontent.com/X0CBAN/Harness/main/GIFS/intruder.gif) ### Crawler 带有可视化图表的主动爬虫。 - 跟踪 ``、`
`、`