🚀 MCP 服务器渗透测试
本项目主要用于 MCP 服务器的渗透测试,具备多种自动化检测漏洞的功能,还能实现页面截图、网络交互等操作,为服务器安全检测提供全面支持。
🚀 快速开始
本项目可用于 MCP 服务器的渗透测试,通过自动化工具完成漏洞检测、页面交互等操作,保障服务器安全。
✨ 主要特性
- 全浏览器 XSS、SQL 漏洞自动检测,可快速发现服务器潜在安全风险。
- 页面整体或特定元素的截图功能,方便记录测试过程中的页面状态。
- 网络交互全面支持(导航、点击、表单填写),模拟真实用户操作。
- 控制台日志监控,实时获取浏览器运行信息。
- 浏览器上下文中的 JavaScript 执行,可进行自定义的脚本操作。
📦 安装指南
安装步骤
npx playwright install firefox
yarn install
npm run build
📚 详细文档
配置说明
安装过程会自动将以下配置添加到您的 Claude 配置文件中:
{
"mcpServers": {
"playwright": {
"command": "npx",
"args": [
"-y",
"/Users/...../dist/index.js"
],
"disabled": false,
"autoApprove": []
}
}
}
组件工具
工具集
broser_url_reflected_xss
测试 URL 是否存在反射型 XSS 漏洞。
{
"url": "https://test.com",
"paramName":"text"
}
browser_url_sql_injection
测试 URL 是否存在 SQL 注入漏洞。
{
"url": "https://test.com",
"paramName":"text"
}
browser_navigate
在浏览器中导航到任意 URL。
{
"url": "https://stealthbrowser.cloud"
}
browser_screenshot
捕获页面的截图或特定元素的截图。
{
"name": "screenshot-name", // 必填
"selector": "#element-id", // 可选
"fullPage": true // 可选,默认:false
}
browser_click
使用 CSS 选择器点击页面上的元素。
{
"selector": "#button-id"
}
browser_click_text
根据文本内容点击页面上的元素。
{
"text": "Click me"
}
browser_hover
悬停在页面上的元素上(使用 CSS 选择器)。
{
"selector": "#menu-item"
}
browser_hover_text
根据文本内容悬停在页面上的元素上。
{
"text": "Hover me"
}
browser_fill
填写表单字段。
{
"selector": "#input-field",
"value": "Hello World"
}
browser_select
使用 CSS 选择器在下拉列表中选择选项。
{
"selector": "#dropdown",
"value": "option-value"
}
browser_select_text
根据文本内容在下拉列表中选择选项。
{
"text": "Choose me",
"value": "option-value"
}
browser_evaluate
在浏览器控制台中执行 JavaScript。
{
"script": "document.title"
}