网络安全人员的资源雷达
这是一个专注网络安全、渗透测试与AI安全领域的开源资源导航。我们整理在以往的岁月中好用、优秀的工具、资源,同样也收集在AI时代好用、有趣、值得学习和研究的开源项目,过滤噪音,帮助网络安全从业人员和爱好者在浩如烟海的GitHub中快速找到真正值得投入精力的资源。
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| ENScan_GO | 只需输入名称即可收集该企业及其分支的互联网暴露信息 | 4393 | 2026-03-30 |
| ICP_Query | 查询域名、APP、小程序、快应用以及企业的ICP备案信息,提供完全本地化的API | 877 | 2026-04-01 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| uncover | 利用多个搜索引擎快速发现互联网上暴露的主机。 | 2950 | 2026-05-14 |
| FofaMap | 集成AI的智能测绘工具 | 664 | 2026-04-09 |
| ThunderSearch | 轻量、小巧的测绘工具 | 668 | 2024-12-06 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| Oneforall | 强大的子域名收集工具,支持暴力枚举和多种API源收集 | 9778 | 2026-05-11 |
| subfinder | 从30余种数据源快速被动收集子域名 | 13650 | 2026-05-13 |
| csprecon | 通过csp策略发现子域名 | 514 | 2026-05-13 |
| shuffledns | 子域名爆破工具 | 1628 | 2026-05-12 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| nmap | 是的,它仍然是最好用的端口扫描器之一 | 12903 | 2026-05-16 |
| naabu | 一款用Go语言编写的快速端口扫描器,注重可靠性和简洁性 | 5943 | 2026-05-13 |
| Smap | 无缝替代nmap的端口扫描工具 | 3226 | 2026-04-13 |
| masnmapscan-V1.0 | 结合了masscan和nmap的端口扫描器 | 832 | 2026-02-06 |
| webfinder-next | Java语言开发的快速端口扫描器 | 88 | 2022-04-24 |
| TXPortMap | 轻量端口扫描器,内置指纹 | 673 | 2023-10-27 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| dirsearch | 一个好用的目录扫描工具 | 14266 | 2026-04-29 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| katana | 强大的爬虫框架,支持多种参数传入,全面收集目标URL | 16707 | 2026-05-11 |
| urlhunter | 被动收集目标在互联网暴露的URL信息 | 1678 | 2025-01-23 |
| urlfinder | 无需主动扫描、快速被动收集目标URL的工具 | 869 | 2026-01-05 |
| xnLinkFinder | 发现潜在的url参数、端点 | 1554 | 2026-03-08 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| dismap | 辅助红队快速定位目标资产信息 | 2142 | 2024-01-29 |
| hfinger | 一个用于web框架、CDN和CMS指纹识别的高性能命令行工具 | 308 | 2026-04-09 |
| P1finger | 面向红队的指纹识别工具 | 448 | 2025-08-05 |
| Ehole | 红队重点攻击系统指纹探测工具 | 3471 | 2024-04-02 |
| Finger | 一款红队在大量的资产中存活探测与重点攻击系统指纹探测工具 | 1722 | 2023-12-22 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| TscanPlus | 支持信息收集、资产测绘、漏洞扫描的强大工具 | 3380 | 2026-05-15 |
| Fine | 针对企业信息收集、目标资产探测、小程序反编译的工具 | 1298 | 2026-04-26 |
| mitan | Java编写的信息收集、资产测绘于一体的综合工具 | 1770 | 2025-05-10 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| nemo_go | 自动化信息收集 | 2041 | 2026-02-09 |
| ScopeSentry | 一站式信息收集 | 1496 | 2026-04-26 |
| xingrin | 开源攻击面管理平台 | 539 | 2026-04-25 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| BurpSuite | 最受欢迎的web应用测试框架,功能强大,插件丰富 | - | - |
| Yakit | 单兵作战武器库 | 7277 | 2026-05-15 |
| Caido | rust语言编写的轻量的web应用测试框架,正在撼动burp的地位 | 2330 | 2026-05-16 |
| zap | Web应用扫描器,它免费且开源 | 15141 | 2026-05-14 |
| ChYing | 开源的类BurpSuite应用 | 677 | 2026-03-31 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| sqlmap | 发现sql注入后,快速利用它 | 37396 | 2026-05-15 |
| ByPassTamperPlus | 提升sqlmap绕过waf能力的Tamper合集 | 119 | 2026-02-12 |
| ghauri | 与sqlmap神似的注入漏洞扫描工具 | 3997 | 2025-10-04 |
| XSStrike | 号称最好用的xss扫描器 | 14957 | 2025-04-26 |
| liffy | 本地文件包含漏洞扫描工具 | 957 | 2026-05-12 |
| SSRFmap | 自动SSRF模糊测试与利用工具 | 3551 | 2025-09-04 |
| SSTImap | 发现模版注入时自动化利用 | 1494 | 2026-04-25 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| PayloadsAllTheThings | 几乎包含所有常见web漏洞payload的仓库 | 77757 | 2026-04-22 |
| Payloader | 渗透测试payload速查 | 375 | 2026-03-11 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| nomore403 | 执行低误报的40x绕过方案 | 1714 | 2026-04-12 |
| plecost | 针对WordPress的漏洞扫描工具 | 374 | 2026-05-06 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| Godzilla | 好用的webshell管理工具 | 4388 | 2024-07-17 |
| EtherGhost | 游魂-支持PHP/JSP的webshell管理工具 | 675 | 2026-05-17 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| GitHack | .git文件夹泄露漏洞利用 | 3544 | 2023-02-01 |
| gitleaks | 一个秘钥泄露扫描工具 | 27058 | 2026-05-13 |
| idea_exploit | 扫描idea配置文件中可能存在的敏感信息 | 370 | 2022-08-05 |
| heapdump_tool | heapdump泄露利用工具 | 1448 | 2024-05-21 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| fuzzDicts | Web Pentesting Fuzz 字典,一个就够了 | 8290 | 2023-11-13 |
| Web-Fuzzing-Box | Web 模糊测试字典与一些Payloads | 2739 | 2026-03-23 |
| AppSec-Payloads | 包含漏洞payloads和web应用测试中各类场景的fuzz字典集合 | 929 | 2026-04-01 |
| Blasting_dictionary | 高效字典 | 5270 | 2022-03-21 |
| lutfumertceylan/top25-parameter | 统计常见web漏洞常出没的25个参数 | 1834 | 2024-06-09 |
| PentesterSpecialDict | 构建优化高效的渗透 fuzz 字典合集 | 1898 | 2025-06-17 |
| SecDictionary | 实战沉淀字典 | 1553 | 2026-03-17 |
| Dictionary-Of-Pentesting | 渗透测试、SRC漏洞挖掘、爆破、Fuzzing等字典收集项目 | 2046 | 2023-07-21 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| nuclei | 基于yaml语法定制漏洞模版的快速、低误报率的漏洞扫描工具 | 28711 | 2026-05-14 |
| afrog | 轻量快速的扫描器,有着适合国内环境的poc | 4264 | 2026-05-10 |
| xray | 强大的支持被动式的web漏洞扫描器 | 11557 | 2024-10-29 |
| dddd | 只需一个参数即可完成信息收集到漏洞检测的全自动扫描 | 1874 | 2024-08-02 |
| VscanPlus | vscan二次开发的版本,批量快速检测网站安全隐患 | 335 | 2026-03-10 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| ShiroAttack2 | shiro反序列化漏洞综合利用工具 | 2507 | 2026-05-16 |
| I-Wanna-Get-All | 综合漏洞后渗透利用工具 | 1731 | 2025-12-11 |
| ThinkphpGUI | thinkphp全版本漏洞检测工具 | 1579 | 2022-06-01 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| cve | 这是一个cve漏洞仓库,作者声称所有poc均公开可用 | 7768 | 2026-05-17 |
| PoC-in-GitHub | 一个持续更新的cve漏洞仓库 | 7749 | 2026-05-18 |
| Vulnerability-Wiki-PoC | 2024-至今1Day漏洞PoC深度研究与复现归档 | 846 | 2026-04-28 |
| Awesome-POC | 一个漏洞 PoC 知识库 | 4969 | 2026-05-11 |
| POC | wy876的POC镜像仓库 | 1962 | 2026-03-31 |
| nuclei_poc | 一个nuclei的模版仓库 | 2022 | 2026-05-17 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| BypassPro | 自动化绕过40x和waf的burp插件 | 1243 | 2026-05-10 |
| APIKit | 被动挖掘各种API泄露 | 2260 | 2024-04-02 |
| HaE | 检查经过burp的流量,挖掘敏感信息,并高亮显示 | 4168 | 2026-05-06 |
| TsojanScan | 一个集成常见漏洞探测的BurpSuite插件 | 1498 | 2026-01-29 |
| burp-ai-agent | 让AI与BurpSuite无缝衔接 | 1135 | 2026-05-15 |
| Wsdler | 解析wsdler请求,并自动化测试其中的接口 | 272 | 2018-06-25 |
| burp-awesome-tls | 将burp流量伪造成多种浏览器 | 1805 | 2026-05-13 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| wappalyzer | 快速识别目标网站技术栈的浏览器插件 | - | - |
| HackTools | 面向红队和渗透测试人员的一体化浏览器插件 | 6720 | 2025-01-05 |
| SnowEyes | 网站解析、网页敏感信息检测、指纹识别的chrome插件 | 816 | 2026-01-13 |
| keyFinder | 被动发现各种API密钥和敏感信息的浏览器插件 | 670 | 2026-05-14 |
| VueCrack | 红队浏览器插件-检测VUE站点未授权漏洞 | 806 | 2026-05-07 |
| CloudVueRoute | 快速提取Vue应用中路由信息的浏览器脚本 | 132 | 2026-04-15 |
| Heimdallr | 识别目标是否是蜜罐 | 1668 | 2023-01-19 |
| random-user-agent | 自动伪造浏览器的UA头为任意值 | 739 | 2026-05-01 |
| DotGit | 被动监测目标网站是否有.git/.svn/.hg等文件泄露 | 472 | 2026-04-26 |
| onetab | 管理你的浏览器标签页 | - | - |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| e0e1-config | 收集浏览器、数据库连接工具等敏感信息的后渗透工具 | 588 | 2026-03-01 |
| MX1014 | 大小仅2M左右,适合红队在内网进行快速端口扫描 | 172 | 2025-05-28 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| sliver | 可跨平台运行,支持linux后门生成的C2 | 11215 | 2026-05-07 |
| Viper | 基于人工智能的对抗模拟和红队演练平台 | 5044 | 2026-03-31 |
| Supershell | Supershell是一个通过WEB服务访问的C2远控平台 | 1788 | 2026-04-03 |
| XiebroC2 | 神似Cobalt Strike的C2客户端、功能多样且强大 | 1391 | 2025-02-28 |
| Wyrm | 红队后渗透框架 | 490 | 2026-03-15 |
| Spark | 一个免费、安全、开源、基于网页、跨平台且功能丰富的远程管理工具 | - | - |
| conquest | 基于Nim语言开发的高度可定制的C2框架 | 392 | 2026-05-12 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| RedSun | 利用windows defender进行提权 | 2126 | 2026-04-15 |
| Exploit-Street | 一个2023-2025的windows提权漏洞合集 | 938 | 2026-05-16 |
| dirtyfrag | 2026年5月出现的linux提权0day | 4613 | 2026-05-10 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| ProxyPool | 帮助用户自动维护高质量的代理池 | 133 | 2026-03-08 |
| Deadpool | Go编写的代理池轮询工具 | 683 | 2026-05-06 |
| mubeng | 一款速度极快、使用便捷的代理服务器检测和IP轮换工具 | 2105 | 2025-10-08 |
| fir-proxy | 一个轮换代理的图形化代理池程序 | 580 | 2025-12-04 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| camoufox | 反检测浏览器 | 8441 | 2026-05-15 |
| f8x | 红蓝队环境自动化部署工具 | 2125 | 2026-05-05 |
| redc | 集成了AI的红队基础设施部署GUI工具 | 162 | 2026-05-10 |
| penetration-suite-toolkit | 包含常见渗透测试工具环境的windows虚拟机 | 2940 | 2025-06-11 |
| copy-cert | 通过生成ssl证书伪造c2流量 | 350 | 2024-10-03 |
| 链接 |
|---|
| ТОСГОНЫ |
| 一元机场 |
| 赔钱机场 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| Sec-Interview | 涵盖护网、红队、逆向、密码学、二进制、AI、区块链的面试题 | 712 | 2026-03-11 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| dive-into-llms | 上海交大《动手学大模型Dive into LLMs》系列编程实践教程 | 38472 | 2025-10-10 |
| self-llm | 教会你如何正确使用开源大模型 | 30496 | 2026-04-24 |
| happy-llm | 从核心原理搞懂大模型并构建一个大模型 | 30357 | 2026-05-06 |
| llm-universe | 大模型应用开发项目,教会你基于大模型开发上层应用 | 13027 | 2026-02-24 |
| hello-agents | 从零开始的智能体原理与实践教程 | 50439 | 2026-05-17 |
| learn-claude-code | 通过claude code的源码学习AI工具的开发 | 60977 | 2026-05-11 |
| claude-code-book | 当所有人都在教你怎么用AI Agent——这本书带你拆开它 | 3301 | 2026-04-06 |
| agentic-design-patterns | 谷歌出品智能体开发教程 | 4862 | 2026-05-05 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| Claude Code | 最好用、最受欢迎的AI编码助手 | 124406 | 2026-05-18 |
| Codex | OpenAI推出的编程助手,支持代码生成、解释和调试 | 83316 | 2026-05-18 |
| Cursor | 基于VSCode深度定制的AI原生IDE | - | - |
| OpenCode | 完全开源免费的AI编码工具 | - | - |
| Trae | 字节跳动推出的AI原生集成开发环境 | - | - |
| Kiro | 亚马逊推出的AI IDE | - | - |
| Qoder | 阿里巴巴开发的编程智能体,特色是专家团开发 | - | - |
| qwen-code | 阿里巴巴推出的基于Qwen3-Coder的命令行编程智能体 | 24444 | 2026-05-18 |
| kimi-cli | kimi推出的命令行通用智能体工具 | 8625 | 2026-05-13 |
| Lingma | 阿里云推出的免费的图形化编程智能体 | - | - |
| DeepSeek-TUI | 专为deepseek打造的AI编码助手 | 31306 | 2026-05-17 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| cc-haha | 基于cc泄露源码打造的本地可运行的claude-claude客户端 | 11180 | 2026-05-16 |
| claude-code-ccb | 高度可自定义的claude-code开源构建版 | 18355 | 2026-05-18 |
| clawgod | 一个claude code补丁,解锁了禁止网络安全相关测试的限制 | 1047 | 2026-05-17 |
| claude-hud | 实时查看cc的上下文、工具调用、待办事项等状态的插件 | 23033 | 2026-05-16 |
| claude-plugin-wechat | 微信、飞书无缝对接Claude-Code | 54 | 2026-04-27 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| 百度搜索开放平台-MCP广场 | 一个mcp广场 | - | - |
| web-search-fast | 一个简单的本地 web search mcp | 48 | 2026-03-23 |
| cve-mcp-server | AI驱动的安全情报聚合与风险判断工具 | 565 | 2026-05-13 |
| chrome-devtools-mcp | 让AI调试浏览器 | 39850 | 2026-05-17 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| wooyun-legacy | 给AI安全报告加上真实案例背书和数据支撑 | 1626 | 2026-05-11 |
| xianzhi-research | 声称能让AI能够像顶尖安全研究员一样思考 | 166 | 2026-01-29 |
| web3-bug-bounty-hunting-ai-skills | 一个应用于AI的智能合约安全知识库 | 78 | 2026-03-15 |
| Anthropic-Cybersecurity-Skills | 内置754个安全技能,将人类安全专家的实践经验转化为AI可执行的结构化知识 | 6384 | 2026-05-13 |
| awesome-claude-skills-security | 为claude-code提供安全性测试和CTF解题的能力 | 254 | 2026-03-21 |
| ctf-skills | 一个适用于ctf的skills,包含漏洞利用、逆向、取证分析、情报获取等技能 | 2039 | 2026-05-01 |
| AboutSecurity | 为AI制定的渗透测试方法论 | 1302 | 2026-05-17 |
| califio-skills | 适用于代码审计的skills | 41 | 2026-04-30 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| anthropic-skills | anthropic官方的skill仓库 | 136331 | 2026-05-17 |
| superpowers | 提升agent的自主性和规范性,头脑风暴skills | 195210 | 2026-05-14 |
| pua | 一个赋予AI agent高能动性的skills | 17423 | 2026-05-13 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| strix | 开源AI黑客将发现并修复您应用的漏洞 | 25343 | 2026-05-11 |
| airecon | 一个借助本地大模型进行类似人工的渗透测试活动的开源工具 | 619 | 2026-04-23 |
| pentagi | 利用前沿AI技术进行自动化渗透测试,适用于安全专家、研究人员和爱好者 | 16962 | 2026-05-16 |
| superclaw | 一个基于AI的,场景驱动、行为优先的安全测试工具 | 231 | 2026-02-02 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| claudecodeui | 提供一个web-ui,更好的管理AI编程工具会话和使用它们 | 11019 | 2026-05-14 |
| cc-switch | 更方便配置claude-code和其他AI编码助手的客户端程序 | 73549 | 2026-05-18 |
| rtk | 让你的AI节省60%-90%的token | 49373 | 2026-05-17 |
| vibe-kanban | 卡片式的任务编排,让你的claude-code、codex工作效率大大提高 | 26311 | 2026-04-24 |
| 仓库名 | 描述 | Stars | 最近更新 |
|---|---|---|---|
| 公众号 | 网络安全类公众号推荐 | 2251 | 2026-05-18 |
| 来福电台 | 在每天的早咖啡时间根据你的喜好定制推送内容 | - | - |
CyberForge/
├── README.md
├── update_resources.py
├── requirements.txt
└── .github/workflows/
└── auto_update.yml
保持更新,持续学习!