一款强大的漏洞扫描和利用工具 Jie（12月31日更新）

1、主动模式

主动模式下可以通过指定 --copilot 来进入 Security Copilot 模式，扫描完不退出，方便查看 web 结果页面

./Jie web -t https://public-firing-range.appspot.com/ -p xss -o vulnerability_report.html --copilot

不指定 web 的用户名密码，或自动生成

INFO [cmd:webscan.go(glob):55] Security Copilot web report authorized:yhy/3TxSZw8t8w

被动代理 通过 https://github.com/lqqyt2423/go-mitmproxy/ 实现。

Security Copilot，这不仅仅是一个漏洞扫描器，还是一个集大成的辅助工具。

挂上扫描器后，过一遍网站，即使没有漏洞，也要告诉我这个网站的大致信息(指纹、cdn、端口信息、敏感信息、API 路径、子域名等等)，这样帮助人工进行进一步的梳理，辅助挖洞，而不是扫描完毕没洞就是完事了，还要人工重新过一遍。

3、证书下载

HTTPS 证书相关逻辑与 mitmproxy 兼容，并保存在 ~/.mitmproxy 文件夹中。

安装信任根证书, 安装步骤可参考 Python mitmproxy 文档：About Certificates。

4、启动

./Jie  web --listen :9081 --web 9088 --user yhy --pwd 123 --debug

这样会监听 9081 端口，web 界面(SecurityCopilot)开放会在 9088 端口

浏览器指定代理 9081，或者联动 burp

0x03 项目链接下载

https://github.com/yhy0/Jie