🚀 MCP服务器渗透测试
本项目专注于MCP服务器的渗透测试,可自动检测完整浏览器XSS和SQL注入漏洞,还具备页面截图、网络交互、控制台日志监控以及在浏览器上下文中执行JavaScript等功能,为服务器安全检测提供全面支持。
🚀 快速开始
本项目可对MCP服务器进行全面渗透测试,通过一系列工具集实现漏洞检测、页面操作等功能。以下将详细介绍安装、配置及工具集使用方法。
✨ 主要特性
- 完整浏览器XSS和SQL注入漏洞自动检测
- 页面整体或特定元素的截图功能
- 全面的网络交互(导航、点击、表单填写)
- 控制台日志监控
- 浏览器上下文中的JavaScript执行
📦 安装指南
安装步骤
npx playwright install firefox
yarn install
npm run build
📚 详细文档
配置
安装过程会自动在您的Claude配置文件中添加以下配置:
{
"mcpServers": {
"playwright": {
"command": "npx",
"args": [
"-y",
"/Users/...../dist/index.js"
],
"disabled": false,
"autoApprove": []
}
}
}
组件
工具集
broser_url_reflected_xss
测试URL是否具有XSS漏洞
{
"url": "https://test.com",
"paramName":"text"
}
browser_url_sql_injection
测试URL是否具有SQL注入漏洞
{
"url": "https://test.com",
"paramName":"text"
}
browser_navigate
在浏览器中导航到任何URL
{
"url": "https://stealthbrowser.cloud"
}
browser_screenshot
捕获页面或特定元素的截图
{
"name": "screenshot-name", // 必填
"selector": "#element-id", // 可选
"fullPage": true // 可选,默认:false
}
browser_click
使用CSS选择器点击页面上的元素
{
"selector": "#button-id"
}
browser_click_text
通过文本内容点击页面上的元素
{
"text": "Click me"
}
browser_hover
使用CSS选择器悬停在页面上的元素上
{
"selector": "#menu-item"
}
browser_hover_text
通过文本内容悬停在页面上的元素上
{
"text": "Hover me"
}
browser_fill
填充输入字段
{
"selector": "#input-field",
"value": "Hello World"
}
browser_select
使用CSS选择器选择下拉列表中的选项
{
"selector": "#dropdown",
"value": "option-value"
}
browser_select_text
通过文本内容选择下拉列表中的选项
{
"text": "Choose me",
"value": "option-value"
}
browser_evaluate
在浏览器控制台中执行JavaScript
{
"script": "document.title"
}