
Как мой FullMute эволюционировал за время
KaRaKlA 7 минут назад Как мой FullMute эволюционировал за время Простой 3 мин 179 Python * Bug hunters * GitHub * Информационная безопасность * Кейс Привет, Хабр! Прошло достаточно много времени с написания моей первой...
<5 — 2026'da uzaya kaç SpaceX Starship fırlatması ulaşacak?
Значимый прорыв формирует отрасль ИИ: KaRaKlA 7 минут назад Как мой FullMute эволюционировал за время Простой 3 мин 179 Python * Bug hunters * GitHub * Информационная безопасность * Кейс Привет, Хабр! Прошло достаточно много времени с написания моей первой статьи о сканере, который принёс мне выплату в багбаунти. Кто не знает, его суть в получении технологий на сайте, после чего проверки на CVE в массовом обличье.
Сегодня я бы хотел рассказать о том, как он эволюционировал, какие были исправления и новшества. Fullmute scanner Критика и советы сообщества Ни один хороший инструмент не смог бы дорасти до своих масштабов без критики и советов более опытного окружения. Это не обошло и меня.
Технические детали
Если разбирать конкретно критику, то большая доля легла именно на обход Cloudflare и работу с сигнатурами. А советов было куда больше, но я выделю основное. Самый главный совет, обработка которого по итогу заняла самое большое время, — это создание user-friendly интерфейса.
Позже мы разберём каждое из этого. Также советы были: сделать отложенное сканирование и задавать порты, на которых могут стоять технологии. Обход cloudflareЧестно говоря, я всё ещё считаю себя новичком, особенно в этом вопросе, но что-то я сделать всё-таки смог.
Была произведена замена обычного requests на Playwright, что, по моей логике, должно помочь в обходе Cloudflare. Также немного поиграл с заголовками запросов, чтобы сделать их более легитимными для сайта. Работа с сигнатурами Да, здесь первая версия FullMute очень сильно уступает второй.
Отраслевые последствия
Были добавлены новые технологии (напомню, по желанию вы сами можете настраивать). В итоге я гораздо более тщательно изучил технологии, чтобы подобрать для них те сигнатуры, которые будут давать меньше ложных срабатываний. Также были изменены сигнатуры чувствительных файлов по типу /.
git/, так как даже если они были на сайте, из-за слишком строгих правил оно не помечало их как найденные. Web UI интерфейсОдин из моих давних знакомых, который только недавно начал увлекаться пентестом, сказал: «Для новичка работать с CLI куда сложнее, попробуй создать UI». Взяв его слова во внимание, я начал работу.
Интерфейс я решил сделать очень близким к Acunetix, не знаю почему, просто он мне нравится. Взял за основу Flask + Jinja. При запуске генерируется ключ, по которому можно войти в веб-интерфейс.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.




