推荐项目：Scalpel-深度漏洞挖掘扫描器

[YLoiK]

推荐项目

• 项目地址：https://github.com/StarCrossPortal/scalpel

• 类别：Go

• 项目标题：一款支持深度参数注入，拥有一个强大的数据解析和变异算法，可以将常见的数据格式（json, xml, form等）解析为树结构的命令行扫描器

• 项目描述：检测目标网站安全漏洞，挖掘未知安全漏洞，支持漏洞Fuzz和参数深度注入，采用被动扫描的方式，通过流量中解析Web/API参数结构，能对参数编码进行自动识别与解码，并基于树结构灵活控制注入位点，让漏洞Fuzz向量能够应对复杂的编码与数据结构，实现深度漏洞挖掘。

• 亮点：

• Scalpel支持深度参数注入，其拥有一个强大的数据解析和变异算法，它可以将常见的数据格式（json, xml, form等）解析为树结构，然后根据poc中的规则，对树进行变异，包括对叶子节点和树结构 的变异。变异完成之后，将树结构还原为原始的数据格式。

• 解决在HTTP应用漏洞Fuzz过程中，传统的「Form表单明文传参的模式」逐渐变为「复杂、嵌套编码的参数传递」 无法直接对参数内容进行注入或替换，无法深入底层的漏洞触发点的问题。

• 该工具采用被动扫描的方式，通过流量中解析Web/API参数结构，对参数编码进行自动识别与解码，并基于树结构灵活控制注入位点，让漏洞Fuzz向量能够应对复杂的编码与数据结构，实现深度漏洞挖掘。

• 已公开100+漏洞POC

• 截图：

• 后续更新计划： 持续更新漏洞POC 持续更新多种漏洞场景的Fuzz和检测

[521xueweihan]

@YLoiK 扫描器的源码，没有开源吗？