尊龙凯时人生就是搏

提交需要
*
*

*
*
*
当即提交
点击”当即提交”,批注我理解并赞成 《尊龙凯时人生就是搏科技隐衷条款》

logo

    产品与服务
    解决规划
    技术支持
    合作发展
    关于尊龙凯时人生就是搏

    申请试用
      Strix自动渗入测试平台搭建与使用
      颁布功夫:2025-12-22 阅读次数: 10634 次
      01    Strix介绍

      Strix 是一款由OmniSecure公司开发的创新自动化安全测试工具,其特点是“自主的人为智能代理,其行为就像真正的黑客一样”。Strix具备开箱即用的齐全黑客工具包、合作且可扩大的代理团队、自主POC验证预防误报、以开发者为中心的号令行界面、提供可操作的汇报、提供自动建复等主题职能。Strix除了支持开源私有化部署之表,还提供SaaS云平台服务。Strix的主题能力如下图所示

      尊龙凯时 - 人生就是搏!


      02    Strix本地搭建


      Strix的官网地址为

      https://usestrix.com/


      其github代码仓库地址为

      https://github.com/usestrix/strix


      能够从上述蹊径中获取Strix的官方问题以及最新资讯

      Strix支持Linux、macOS 和 Windows 等平台,且装置比力单一,能够使用剧本装置或者pipx装置两种方式

      #剧本装置
      curl -sSL https://strix.ai/install | bash
      #pipx装置
      pipx install strix-agent


      或者直接下载编译好的二进造文件运行即可

      https://github.com/usestrix/strix/releases


      配置大模型API,这里使用deepseek大模型

      export STRIX_LLM="deepseek/deepseek-chat"
      export LLM_API_KEY="sk-xxxxxx"


      尊龙凯时 - 人生就是搏!


      配置好后既能够使用Strix进行自动化渗入了

      尊龙凯时 - 人生就是搏!


      03   Strix自动化渗入测试

      Strix支持本地代码包、github仓库、web利用url三种扫描模式

      # 扫描本地代码包
      strix --target ./app-directory
      # 扫描github仓库
      strix --target https://github.com/org/repo
      # 扫描web url
      strix --target https://your-app.com


      首先来进行最通例的web url扫描测试,这里用AI编写了一个轻量级的靶场,蕴含XSS缝隙、SSRF缝隙、肆意文件读取缝隙、敏感信息泄露缝隙四种常见缝隙

      尊龙凯时 - 人生就是搏!


      扫描号令为

      strix --target http://192.168.30.168:5000/
      #终端模式下必要启用无头模式
      strix -n --target http://192.168.30.168:5000/


      成功起头扫描的界面如下


      尊龙凯时 - 人生就是搏!

      在经过5幼时的运行后,仍未扫描结束,工具提醒发现2个缝隙(可能是由于Strix服务器1C2G的配置过低,服务器机能监控一向在提醒out of memory)

      尊龙凯时 - 人生就是搏!


      在dist/strix_runs/目录下会天生了局汇报,蕴含md体式的缝隙详情和csv体式的缝隙汇总表

      尊龙凯时 - 人生就是搏!



      缝隙了局如下,详情中会提供成功利用的验证POC


      尊龙凯时 - 人生就是搏!



      接下来测试Strix工具对代码包的扫描能力,同样是让AI编写一个拥有SQL注入缝隙、反序列化缝隙、RCE缝隙、SSRF缝隙、XXE缝隙、越权缝隙、信息泄露缝隙的JavaWeb项目。

      尊龙凯时 - 人生就是搏!



      扫描号令为

      ./strix -n --target /tmp/vulnerable-enterprise-app


      运行2幼时,扫描未实现,未找出任何缝隙

      尊龙凯时 - 人生就是搏!




      而将代码包用Trae进行审计,不到5分钟已经审计出全数预设的缝隙...

      尊龙凯时 - 人生就是搏!


      04   总结

      从扫描指标URL的方式来说,发现Strix还是有肯定的可取之处,在扫描日志中发现它会挪用目录爆破、SQLMAP等工具进行扫描,也会凭据参数特点进行相应的测试,了局汇报内容结构齐全,在服务器机能允许+忽略token成本的前提下,应该能够获得不错的扫描成效。而对于扫描代码包进行源代码审计来说,Strix与Trae、Cursor等原生AI IDE来说,可能就不太有竞争力了。

      尊龙凯时 - 人生就是搏! 免费试用
      尊龙凯时 - 人生就是搏! 服务热线
      尊龙凯时 - 人生就是搏!

      顿时征询

      400-811-3777

      尊龙凯时 - 人生就是搏! 回到顶部
      【网站地图】