<img src="https://img.shields.io/github/stars/darkfiv/AIFuzzing?style=social" alt="GitHub stars">
<img src="https://img.shields.io/github/release/darkfiv/AIFuzzing.svg" alt="GitHub release">
🚀 智能越权与未授权访问检测工具
<a href="#✨-核心功能">功能</a> •
<a href="#📦-安装指南">安装</a> •
<a href="#🚀-快速开始">快速开始</a> •
<a href="#⚙️-配置说明">配置</a> •
<a href="#📚-使用教程">教程</a>
AIFuzzing 是一款基于代理的被动式 Web 安全扫描工具,专注于检测未授权访问和越权漏洞。通过拦截和分析应用程序流量,自动发现潜在的安全问题,并提供智能化的结果分析和管理功能。
graph TD
A[捕获HTTP请求] --> B[内置规则检测]
B --> C{发现漏洞?}
C -->|是| D[生成结果]
C -->|否| E{AI启用?}
E -->|是| F[AI深度分析]
E -->|否| G[相似度+敏感数据检测]
F --> H[生成AI分析结果]
G --> I[生成检测结果]
H --> J[展示在Web界面]
I --> J
D --> J
J --> K[用户标记误报]
K --> L[筛选真实漏洞]
从 Releases 下载对应平台的二进制文件:
| 平台 | 文件名 |
|---|---|
| Windows | AIFuzzing_windows_amd64.zip |
| macOS (Apple Silicon) | AIFuzzing_macos_arm64.zip |
| macOS (Intel) | AIFuzzing_macos_amd64.zip |
| Linux | AIFuzzing_linux_amd64.zip |
解压后包含:
- 可执行文件 (AIFuzzing 或 AIFuzzing.exe)
- 配置文件 (config.json)
- Web界面文件 (index.html)
- 白名单配置文件 (whitelist.txt)
如果您需要自定义功能或开发版本,可以从源码编译:
git clone https://github.com/darkfiv/AIFuzzing.git
cd AIFuzzing
go mod download
# 编译当前平台版本
go build -o AIFuzzing
# 编译多平台版本
# Windows
GOOS=windows GOARCH=amd64 go build -o AIFuzzing.exe
# macOS (Intel)
GOOS=darwin GOARCH=amd64 go build -o AIFuzzing_macos_amd64
# macOS (Apple Silicon)
GOOS=darwin GOARCH=arm64 go build -o AIFuzzing_macos_arm64
# Linux
GOOS=linux GOARCH=amd64 go build -o AIFuzzing_linux_amd64
# 使用默认配置
./AIFuzzing
# 指定配置文件
./AIFuzzing -config my-config.json
# 指定端口
./AIFuzzing -port 9090
# 启用调试日志
./AIFuzzing -log debug
# 启用文件日志
./AIFuzzing -logFile
# 禁用Web界面(仅代理模式)
./AIFuzzing -disableWebUI
AIFuzzing/
├── main.go # 主程序入口
├── config/ # 配置管理
├── scanner/ # 扫描核心逻辑
├── utils/ # 工具函数
├── workerpool/ # 工作池管理
├── similarity/ # 相似度计算
├── static/ # 静态资源文件
├── index.html # Web界面
└── config.json # 配置文件
go mod download 安装依赖go run main.go 启动开发模式# Windows
AIFuzzing.exe
# macOS/Linux
./AIFuzzing
127.0.0.1:9080http://127.0.0.1:8222 查看结果点击展开配置详情
{
"proxy": {
"port": 9080,
"streamLargeBodies": 102400
},
"unauthorizedScan": {
"enabled": true,
"removeHeaders": ["Authorization", "Cookie", "Token"],
"similarityThreshold": 0.5,
"excludePatterns": ["/static/", "/login", "/logout"]
},
"privilegeEscalationScan": {
"enabled": true,
"similarityThreshold": 0.6,
"paramPatterns": ["id=\\d+", "userId=\\d+"]
},
"AI": "deepseek",
"apiKeys": {
"deepseek": "sk-xxx",
"gpt": "sk-xxx",
"glm": "sk-xxx"
}
}
| 配置项 | 说明 | 默认值 |
|---|---|---|
proxy.port |
代理服务器端口 | 9080 |
unauthorizedScan.enabled |
是否启用未授权扫描 | true |
unauthorizedScan.similarityThreshold |
响应相似度阈值 | 0.5 |
privilegeEscalationScan.enabled |
是否启用越权扫描 | true |
AI |
默认AI模型 | deepseek |
streamLargeBodies 处理大响应体无法截获HTTPS请求
误报太多怎么办
性能问题
欢迎提交Issue来帮助改进AIFuzzing!
有什么问题可以进群问
AIFuzzing 仅用于合法的安全测试和研究目的。用户必须获得测试目标系统的授权,且需遵守当地法律法规。开发者对因滥用本工具导致的任何损失不承担责任。
如果这个项目对您有帮助,请给个 ⭐️ Star 支持一下!
Built with ❤️ by DarkFi5
$ claude mcp add AIFuzzing \
-- python -m otcore.mcp_server <graph>