文章总结： 本文介绍了作者开源的交互式渗透测试平台承影。该工具基于Go与Vue3开发，集成代理、重放、爆破及编解码等功能，并结合Jie扫描器实现漏洞检测。借助AI辅助重构，项目实现了现代化UI。作者旨在提供一款轻量、开源的渗透测试工具，作为BurpSuite的替代选择。 综合评分： 88 文章分类： 安全工具,渗透测试,产品介绍

承影（ChYing）：三年磨一剑，一个安全人的开源梦

原创

yhy0

谁不想当剑仙

2026年1月12日 23:03 湖北

写在前面

2023 年 4 月，我在 GitHub 上创建了一个叫 “承影” 的项目。

承影，取自古代名剑，《列子·汤问篇》中记载：”二曰承影，将旦昧爽之交，日夕昏明之际，北面而察之，淡淡焉若有物存，莫识其状。其所触也，窃窃然有声，经物而物不疾也” 意为在光影交错之际才能隐约看见的神剑。

我希望这个工具也能如此——在渗透测试的明暗之间，成为安全人手中的利器。

缘起：一个安全人的产品梦

我是一个网络安全爱好者，热衷于开发实用、有趣的小工具。

一直以来，我有一个梦想：打造一款像 Xray、BurpSuite 这样被广泛使用的安全产品。

在承影之前，我还做过另一个开源项目——Jie，一个综合性的 Web 安全评估工具，支持主被动扫描、漏洞检测、信息收集等功能，目前收获了 600+ Star。

但 Jie 更偏向自动化扫描，是”跑起来就不用管”的那种工具。我还缺一个交互式的渗透测试平台——能抓包、能改包、能重放、能爆破，像 Burp Suite 那样，但更轻量、更现代、更”我的”。

于是，承影诞生了。

而且，我把 Jie 的扫描能力也集成了进来。承影 + Jie，一个负责交互，一个负责自动化，互为补充。

三年：断断续续的深夜

从 2023 年到现在，这个项目经历了太多：

第一版（2023）：用 Wails + Vue 搭了个架子，实现了基础的代理、目录扫描、JWT 解析。界面很简陋，但能用。开源后收获了 400+ Star，说实话有点意外。

沉寂期（2023-2024）：工作忙了，项目停更。但心里一直惦记着，总觉得还差点什么。

重构期（2024-2025）：创建了私有仓库，137 次提交，无数个熬夜的深夜，大刀阔斧地重构。

这里要说一个转折点：LLM 的出现。

说实话，我的前端水平很有限，也没有时间系统学习。之前的界面之所以简陋，就是因为我只能写出那种程度的代码。

但 Cursor 等 AI 编程工具出来后，一切都变了。我不再需要纠结”这个动画效果怎么实现”、”这个布局用 flex 还是 grid”——我只需要描述我想要什么，AI 帮我实现。

AI 是个人能力的放大器。 它不会替你思考产品该怎么设计，但它能帮你把想法变成代码。对于我这种”有想法但技术有短板”的人来说，这简直是破局的关键。

于是，那个在我脑海里构思了很久的”现代化 UI”，终于能够落地了。

现在：它长这样了

核心功能

HTTP 代理 & 流量分析

• 实时捕获 HTTP/HTTPS 流量
• 智能过滤（按方法、主机、状态码、路径）
• 右键菜单一键发送到 Repeater/Intruder/扫描器

Repeater（重放器）

• 手动修改请求，反复测试
• 支持多标签页，对比测试更方便

Intruder（入侵者）

• 自动化攻击测试
• 支持多种 Payload 类型
• 结果实时展示

Decoder（编解码）

• URL/Base64/Hex/Unicode 一键转换
• MD5/SHA 哈希计算
• 支持链式编解码

插件模块

• JWT 解析与密钥爆破
• Swagger API 测试（未授权访问、注入检测）
• 403 Bypass
• Shiro 解密

集成 Jie 扫描器

• 被动流量扫描
• 主动漏洞检测（XSS、SQL 注入、SSRF、命令执行等）
• Nuclei POC 支持

技术栈

• 后端：Go（高性能、跨平台）
• 前端：Vue 3 + TypeScript
• 框架：Wails v3（Go + Web 的完美结合）
• 数据库：SQLite（轻量本地存储）
• 扫描引擎：Jie

UI：液态玻璃设计

这次重构最大的变化是 UI。借助 AI 的帮助，我终于实现了心中的设计：

• 液态玻璃风格（Glassmorphism）：半透明、模糊背景、柔和阴影
• 深色/浅色主题：护眼，也好看
• 响应式布局：各种分辨率都能用
• 流畅动画：每个交互都有反馈

我不是专业设计师，但我希望每天打开这个工具时，心情是愉悦的。

当前可能还存在各种问题，但我会尽力根据反馈修补

为什么现在开源？

这个项目在我的私有仓库里躺了快两年。

一直没开源，总觉得”还不够好”——功能没完善、Bug 没修完、UI 还能更好……再加上工作重心转移，渗透测试做得少了，Burp 也很久没打开。

但最近想通了：完美是开源的敌人。

与其让它继续躺在硬盘里，不如放出来。也许有人会觉得它有用，也许有人会帮忙改进，也许它能激发别人做类似的事情。

更重要的是，我想给这三年的付出留下一点痕迹。代码会过时，技术会迭代，但这份”想做点什么”的心意，希望能被记住。

写给同行

如果你也是安全从业者，我想说：

这个工具不是要取代 Burp Suite。Burp 依然是最专业、最全面的渗透测试工具。

但如果你：

• 想要一个启动更快的轻量级工具
• 想要一个界面更现代的选择
• 想要一个可以自己改的开源方案
• 或者只是想看看一个安全人是怎么折腾自己的工具的

那么，承影也许值得你试试。

最后

三年，137 次提交，无数个深夜。

从一个简陋的原型，到现在这个样子。

它不完美，还有很多要改进的地方。但它是我的，是我一行一行敲出来的。

现在，它也可以是你的了。

承影 GitHub: https://github.com/yhy0/ChYing

Jie GitHub: https://github.com/yhy0/Jie

Star 一下？ 这是对一个独立开发者最好的鼓励。

承影，愿你在光影之间，找到属于自己的锋芒。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：谁不想当剑仙 yhy0《承影（ChYing）：三年磨一剑，一个安全人的开源梦》