从流量包匹配敏感信息的渗透神器

工具简介

• 在检测敏感信息并且存储中会对uri进行判断，避免同一个uri多次访问而产生多条信息的存在

• 占用内存较少，不会对burp等上游工具造成卡顿影响

• 可以接入爬虫、bp等，对流量中的信息进行匹配检测

• 目前只对Content-Type为text/html、application/json、application/javascript的类型流量进行劫持，大文件、图片信息等不进行劫持。加快检测速度！

• 检测规则依赖于原生wih WIH 调用 - ARL 资产灯塔系统安装和使用文档 (tophanttechnology.github.io)，目前支持规则的启停、支持用户自定义增加规则。

• exclude_rules-规则排除检测正在开发中.....

  
  

安装

运行程序后会在当前路径下生成证书、配置文件、数据库文件

请先安装证书文件-选择受信任根证书颁发机构

扫描匹配规则来自于 WIH ，若部分场景、case无检测到，可以自主根据规则添加、调优，方便的师傅可以提一个issue。

https://tophanttechnology.github.io/ARL-doc/function_desc/web_info_hunter/

https://www.feishu.cn/hc/zh-CN/articles/360024984973-在群组中使用机器人

运行后会显示默认的端口信息，以及飞书webhook地址。如果需要自定义端口可以看后面的编译说明

可以将127.0.0.1:9080地址设置成BurpSuite、浏览器、爬虫的下游代理地址，具体操作如下

当在流量中的信息匹配到规则的时候，将会在控制台输出，同时也会写入本地db文件。若配置了webhook将会发送消息提醒

在对站点渗透测试结束，可以打开数据库连接工具（navicat）等打开db文件，查看检测到的敏感信息详情。

消息提醒效果如下

关于规则，前面列举的内置规则此工具暂时还不支持，在接下来的版本会做优化和适配。

内置规则支持企业微信、钉钉机器人支持日志存储、输出归一化消息提醒功能优化，避免大量检测出规则导致消息发送失败规则优化从JS、CSS等文件内拼接其他文件、接口路径，进行主动访问支持CSV文件导出检测规则热加载