做渗透测试、抓包改包、流量分析的朋友,应该都对 Burp Suite 又爱又恨。功能强是真强,但资源占用、上手门槛、扩展灵活性,总让人想找个更顺手的平替。
最近,一款国产开源工具 SwordfishSuite 悄然上线。它以 Burp 为灵感,做轻量、高效、可扩展的 Web 安全测试平台,最新 v0.1.2 版本还重点优化了资源占用,日常测试更稳更丝滑。
今天就带大家快速上手,看看它到底香在哪。
一、SwordfishSuite是什么?
SwordfishSuite 是面向安全研究员、渗透测试工程师的现代化 Web 安全测试平台,核心定位:
-
轻量高效,不卡不崩 -
图形界面友好,上手快 -
插件化扩展,想加功能自己写 -
兼顾 Web 与 APP 流量分析
二、核心功能,一次看懂
1. 智能代理 + HTTPS 流量拦截
无缝拦截、查看、修改 HTTP/HTTPS 流量,支持多客户端接入。
第一次运行安装 CA 证书,就能正常解密 HTTPS,不用复杂配置。
2. 图形化 GUI,操作直观
不用记一堆命令,点一点就能:
开启/关闭代理查看请求/响应详情数据包重发发起负载扫描对新手非常友好
3. 强大插件系统,Python 一键扩展
基于 Python 的插件生态,自带实用插件:
-
JS 敏感信息提取:自动扒 JS 里各大云厂商 AK/SK 等密钥 -
规则自定义:字典规则写在 extract-string-list.json,想加就加自己写扫描器、分析脚本也很简单,高度定制化。
4. APP 流量分析(内测中)
支持对接云手机,直接在工具里查看、分析 APP 流量。目前暂未完全开放,但已经能看出作者对移动端安全测试的布局。
5. 流量转发与数据导出
支持原始流量、HAR 格式二次转发,方便对接其他工具、做自动化流程、复现测试场景。
三、快速上手,5 分钟跑起来
前置条件
-
想用插件:Python 3.10 或更高版本 -
依赖:pip install grpcio grpcio-tools protobuf numpy
安装启动
-
去 GitHub Releases 下载压缩包 -
解压进入目录 -
双击或运行 Swordfish.exe 即可打开 GUI -
首次使用点「安装证书」,按提示导入受信任根证书 -
点开始,就能拦截、重放、扫描了。
四、适合谁用?
-
渗透测试工程师:日常抓包、改包、重放、批量扫描 -
安全研究员:分析 JS 密钥、APP 接口、协议行为 -
开发 / 运维:自测接口安全、排查敏感信息泄露 -
学生 / 入门者:图形界面友好,学习成本低
五、小结
SwordfishSuite 走的是轻量、好用、可扩展路线,没有过度堆砌功能,把 Web 安全测试最常用的代理、重放、扫描、插件做扎实,同时优化资源占用,长时间运行也不卡顿。
对厌倦了笨重工具、想要一套顺手国产测试平台的朋友来说,非常值得一试。
感兴趣可以去下载体验,也欢迎提交 Issue 或 PR,一起把这款国产安全工具做得更完善。
下载地址
https://github.com/threehammers-group/SwordfishSuite
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容