一飞开源，介绍创意、新奇、有趣、实用的开源应用、系统、软件、硬件及技术，一个探索、发现、分享、使用与互动交流的开源技术社区平台。致力于打造活力开源社区，共建开源新生态！

一飞开源-开源推荐，致力于将开源项目技术应用第一时间推送给目标用户，降低开源作者、开源团队、开源组织的开源项目运营推广难度及成本，让开源项目精准畅通传递触达至目标群体，传递价值、分享共赢！

一、开源项目简介

Hunter是一款被动式漏洞扫描器。

Hunter作为中通DevSecOps闭环方案中的一环，扮演着很重要的角色，开源之后希望能帮助到更多企业。

中通安全致力于支撑中通快递集团生态链全线业务（快递、快运、电商、传媒、金融、航空等）的安全发展。

二、开源协议

使用Apache-2.0开源协议

三、界面展示

产品预览

浏览器插件客户端

客户端配置

一次任务扫描结果

hunter个人用户统计报表

插件分布式管理

客户端下载

四、功能概述

总体介绍

背景介绍

甲方安全建设中有一个很重要的环节，即业务迭代上线前的安全检测。大部分 公司的产品研发部门都会配备一个或多个质量测试工程师负责把关软件质量。然而术业有专攻，质量测试工程师能够得心应手地应对软件功能方面的缺陷， 却由于自身安全领域专业知识的缺失导致很难识别安全风险。针对这一问题常 采用的做法就是由甲方安全人员定期对业务线进行安全检查，但这种做法有很 强的滞后性，一个业务从上线到被发现安全问题可能跨越了很长的周期。最理 想的效果是在业务上线之前能够将安全风险“扼杀”，于是很多公司在业务上 线会安排人工进行安全测试，但这种做法不够节省人力。上述提到的两个做法 都有一定的弊端，一种更好的方案是在发布流程中加入自动化安全扫描，DevSecOps整体流程如下:

DevSecOps整体闭环

Hunter作为中通DevSecOps中一环，发挥着及其重要的作用。

产品导读

欢迎来到hunter文档，hunter是一款被动式漏洞扫描器，何谓被动式漏洞扫描器？

首先需要先了解下主动式漏洞扫描器，传统主动式漏洞扫描器的主要流程:

1.网络爬虫爬取网站接口。

2.对爬取到的接口进行漏洞检测。

网络爬虫主动爬取网站接口并进行漏洞检测的方式被称之为主动式漏洞检测方式。

但是主动爬虫会遗漏掉很多网站接口，为了解决这个问题，一种在用户和web应用

进行交互时获取用户网络请求并进行漏洞检测方式由此产生，这种漏洞检测方式被

称为被动式漏洞检测方式。

五、技术选型

产品流程和架构图

产品架构图

流程图

源码结构

目前开源的源码主要分为如下七个模块:

├── HunterClient(客户端-浏览器插件)
├── HunterAdminApi(管理后台后端)
├── HunterAdminGui(管理后台前端)
├── HunterSense(回显log日志平台)
├── HunterCelery(poc检测引擎)
├── SqlmapCelery(sql注入检测引擎)
├── XsseyeCelery(xss检测引擎)

六、源码地址

源码下载