zakhar-git/Pamp
GitHub: zakhar-git/Pamp
Pamp 是一个无需付费 API 的攻击面情报平台,通过自动化侦察为安全研究人员生成交互式离线评估报告。
Stars: 3 | Forks: 0
# Pamp
## 功能
- IP Intelligence
- Domain Intelligence
- DNS / RDAP / TLS 分析
- HTTP 安全分析
- 应用蓝图
- 应用路由 Intelligence
- JavaScript Intelligence
- 技术指纹识别
- Nmap 集成
- 公开提及搜索
- 交互式离线 HTML 报告
- 英文 / 俄文本地化
## 技术栈
- Python 3.11+
- Rich
- Requests
- Playwright
- BeautifulSoup4
- Jinja2
- NetworkX
- PyVis
- Cryptography
## 安装说明
```
python -m venv .venv
.\.venv\Scripts\Activate.ps1
pip install -r requirements.txt
python -m playwright install chromium
```
## 使用说明
运行 Pamp:
```
python -m pamp.main
```
或
```
python pamp/main.py
```
## 可用模块
### IP Intelligence
分析 IP 地址并收集:
- 地理位置信息
- ASN 信息
- 反向 DNS
- 托管信息
- 基础设施详情
### Domain Intelligence
全面的域名侦察,包括:
- DNS 记录
- RDAP / WHOIS
- 证书透明度
- TLS 证书分析
- HTTP 指纹识别
- 安全响应头
- HTML 分析
- 技术检测
- 追踪器检测
- 公开资源
- 历史 Intelligence
- 信誉 Intelligence
### 应用 Intelligence
自动发现:
- 应用蓝图
- 路由结构
- JavaScript 资产
- API Endpoint
- OAuth Endpoint
- WebSocket 连接
- 云存储引用
### 报告
Pamp 生成具有以下功能的完全交互式离线 HTML 报告:
- 搜索
- 过滤
- 侧边栏导航
- 时间线
- 交互式图表
- 攻击面摘要
- 英文 / 俄文本地化
## 公开数据源
Pamp 仅依赖公开可用的数据源。
示例包括:
- RDAP
- crt.sh
- Cloudflare DNS
- Internet Archive
- AlienVault OTX
- OpenPhish
- PhishTank
- URLHaus
- ThreatFox
无需付费 API。
## 截图
### 菜单

包含可用分析模块、语言选择以及当前工作区快捷访问的主 CLI 界面。
### 搜索

用于新分析会话的目标初始化和侦察工作流。

显示模块执行和实时分析状态的实时进度视图。
### 分析完成

已完成的分析,包含生成的制品、统计数据,以及随时可供查看的交互式 HTML 报告。
### HTML 报告

具有导航、过滤、搜索、可视化分析和详细结果的交互式离线 HTML 报告。
### 应用蓝图

可视化已发现的页面、API、技术、关系以及攻击面组件的交互式应用图表。
### 基础设施蓝图

连接域名、IP 地址、服务、端口、证书和网络关系的基础设施可视化。
### HTTP 攻击面

包括响应头、安全响应头、技术、重定向和响应元数据的 HTTP 侦察。

具有 endpoint 分组和响应分类的详细 HTTP Intelligence。

突出显示其他应用特征和安全观察结果的扩展 HTTP 分析。
### Endpoint Intelligence

从 HTML、JavaScript、浏览器流量和应用资产中收集到的已发现应用 endpoint。

具有分类路由和其他已发现资源的扩展 endpoint 分析。
### IP Intelligence

全面的 IP Intelligence,包括 ASN、托管提供商、地理位置、网络所有权和基础设施详情。

包含扩展基础设施和安全信息的额外 IP Intelligence。
### IP 关系

将 IP 地址与域名、服务、技术、证书和安全发现连接起来的关系图表。
### 世界地图

显示已分析基础设施大致位置的离线地理可视化。
### 可视化链路摘要

流量链路概览,说明请求如何从客户端通过应用基础设施传输到源站。
## 安全
Pamp:
- 不需要 API 密钥
- 不需要 `.env`
- 在报告中屏蔽敏感值
- 不暴力破解 endpoint
- 不尝试破解或解密密钥
## 免责声明
Pamp 仅用于授权的安全测试、研究和教育目的。
仅在您拥有或获得明确许可评估的系统上使用此软件。
标签:GitHub, Python, 只读文件系统, 字符串匹配, 实时处理, 密码管理, 开源社区, 无后门, 特征检测, 特权检测, 用户定义反射加载器, 自动化侦察, 逆向工具