toolbox
by go-appsec·★ 24·综合分 43
基于MCP的应用安全测试工具,通过CLI和代理实现人与代码代理之间的协作。
概述
Sectool是一个协作式应用安全测试工作台,弥合了人类在UI交互和认证方面的优势与AI代理在流量分析和变异能力之间的差距。该工具提供高保真HTTP代理(类似Burp),捕获所有浏览器流量,同时通过MCP工具使AI代理能够查询流量、重放修改后的请求、爬取端点、测试带外交互以及检测反射。这种方法结合人类专业知识和AI自动化,使安全测试更加全面,不易遗漏细微指标。
试试问 AI
装完之后,这里有 5 个你可以让 AI 做的事:
什么时候选它
当您需要结合人工 UI 交互和 AI 驱动的流量分析与变异进行协作式应用安全测试时,选择此 MCP 服务器。
什么时候不要选它
如果您需要完全自动化的扫描而不需要人工参与,或者您已经深度集成 Burp Suite 并更喜欢其工作流,请不要选择此方案。
此 server 暴露的工具
从 README 抽取出 12 个工具workflowSelect the appropriate workflow mode for security testing
proxy_summaryReview summary of captured proxy traffic
replay_sendReplay a captured request with modifications
crawl_createCreate a crawling session to discover endpoints
oast_createSet up out-of-band interaction testing session
diffCompare two flows to identify differences
reflectedDetect request parameters reflected in responses
jwtInspect and decode JWT tokens
oast_pollPoll OAST session for callbacks
notes_saveSave observations linked to flows
notes_listList all saved notes
proxy_cookiesInspect cookies from captured traffic
可对比工具
安装
安装
**通过Go:**
go install github.com/go-appsec/toolbox/sectool@latest**二进制下载:** 从[最新版本](https://github.com/go-appsec/toolbox/releases)下载为Linux、macOS、Windows(amd64和arm64)预构建的二进制文件。
设置
- 启动MCP服务器:
sectool mcp- 配置浏览器使用代理(127.0.0.1:8080)
- 从~/.sectool/ca.pem安装CA证书
Claude Desktop配置
{
"mcpServers": {
"sectool": {
"command": "sectool",
"args": ["mcp"]
}
}
}FAQ
- 这与传统安全扫描器有何不同?
- Sectool不是扫描器,而是协作工作台。它结合了人类在处理认证和UI交互方面的专业知识与AI的流量分析能力,使复杂应用的安全测试更加全面。
- 我可以将其与Burp Suite一起使用吗?
- 是的。Sectool可以通过两种方式集成Burp Suite:使用Burp作为代理前端同时运行MCP服务器,或者使用Burp MCP扩展作为GUI来审查代理的操作。
toolbox 对比
最后更新于 · 由 README + GitHub 公开数据自动生成。