🚀 Bug Bounty MCP Server
Bug Bounty MCP Server 是一个简洁、专注的服务器,包含漏洞赏金狩猎工作流和 REST API 端点,能高效助力漏洞赏金狩猎工作。
✨ 主要特性
- 架构简洁:在保留核心功能的同时,去除了冗余和不必要的依赖。
- 专注漏洞赏金:具备针对侦察、漏洞挖掘、业务逻辑测试、开源情报收集(OSINT)和文件上传测试的专业工作流。
- REST API 端点:提供简单的 HTTP API 用于工作流的生成和管理。
- 全面评估:可组合多个工作流,以进行完整的漏洞赏金评估。
🔧 技术细节
核心组件
- REST API 服务器 (
src/server.py):基于 Flask 的 HTTP API 服务器,提供漏洞赏金工作流端点。 - MCP 服务器 (
src/mcp_server.py):基于 FastMCP 的服务器,用于与 AI 代理进行通信。 - 漏洞赏金工作流:针对不同测试阶段生成专业的工作流。
- 工具集成:集成了丰富的安全测试工具。
🚀 快速开始
1. 安装依赖并启动服务器
# 使用 uv 安装依赖
uv sync
# 安装开发依赖(可选)
uv sync --dev
# 设置预提交钩子(开发时推荐)
uv run pre-commit install
# 启动服务器
uv run src/server.py
# 或者使用环境变量
DEBUG=true BUGBOUNTY_MCP_PORT=8888 uv run src/server.py
# 或者使用启动脚本
./start-server.sh --debug --port 8888
2. 测试 API
# 创建侦察工作流
curl -X POST http://127.0.0.1:8888/api/bugbounty/reconnaissance-workflow \
-H "Content-Type: application/json" \
-d '{"domain": "example.com", "program_type": "web"}'
📚 详细文档
配置
环境变量
BUGBOUNTY_MCP_PORT:服务器端口(默认:8888)BUGBOUNTY_MCP_HOST:服务器主机(默认:127.0.0.1)DEBUG:启用调试模式(默认:false)
💻 使用示例
# 使用默认配置启动
uv run src/server.py
# 使用自定义配置启动
DEBUG=true BUGBOUNTY_MCP_PORT=9999 BUGBOUNTY_MCP_HOST=0.0.0.0 uv run src/server.py
关键特性
- 漏洞赏金工作流管理:为漏洞赏金狩猎的不同阶段生成完整的工作流。
- 漏洞优先级排序:基于影响和赏金潜力进行智能优先级排序。
- 文件上传测试:用于文件上传漏洞测试的专业框架。
- 开源情报集成:全面的开源情报收集工作流。
- 业务逻辑测试:结构化的业务逻辑漏洞发现方法。
依赖项
项目使用 uv 进行快速、可靠的依赖管理:
核心依赖
- Flask:用于 REST API 的 Web 框架。
- FastMCP:MCP 服务器框架。
- Requests:HTTP 客户端库。
- Python 3.11+:核心运行时(支持 Python 3.11、3.12、3.13)
开发依赖
- Ruff:快速的 Python 代码检查器和格式化工具。
- Bandit:安全漏洞扫描器。
- Pydocstyle:文档质量检查器。
- Pyright:静态类型检查器。
- Pre-commit:Git 预提交钩子框架
安装依赖:
uv sync # 仅安装核心依赖
uv sync --dev # 包含开发工具
添加新依赖:
uv add package-name
代码质量
本项目通过自动化的预提交钩子来保证代码质量:
# 安装预提交钩子
uv run pre-commit install
# 对所有文件运行检查
uv run pre-commit run --all-files
# 运行特定检查
uv run ruff check # 代码检查
uv run ruff format # 代码格式化
uv run bandit -c pyproject.toml # 安全扫描
uv run pydocstyle # 文档检查
标准:
- 行长度:88 个字符
- 文档:遵循 Google 文档字符串约定
- 类型提示:公共 API 必须添加
- 安全:启用 Bandit 安全扫描