文章总结: facai是一款基于HTTP流量驱动的资产管理与漏洞扫描工具,采用Python+Flask+MongoDB架构,以JSON为标准格式实现人类与AI可读的数据交互。其核心设计理念强调流量即资产,支持被动爬虫、批量资产发现及无害化漏洞扫描,适用于甲方安全交付和长期监控场景。工具提供代理配置、请求重放等功能,目前处于早期阶段但思路具有创新性。 综合评分: 72 文章分类: 安全工具,WEB安全,渗透测试,安全运营,解决方案
安全工具新思路:facai 流量驱动的资产测绘与漏洞扫描
宝十八 宝十八
网络安全老宋
2026年6月2日 12:46 山东
在小说阅读器读本章
去阅读
导语: 你好,我是老宋。关注我,安全攻防干货准时送达!
HTTP流量分析 + AI时代新理念,一个工具搞定资产发现、被动爬虫、漏洞扫描。作者说:传统安全已经死了,你只负责点点点。
00
为什么值得写
说实话,资产管理工具,市面上不缺。OneForAll、ksubdomain、w8fuck 这些用过的工程师一抓一大把。
但 facai 的思路不太一样,作者在 README 里写了一句话把我吸引了:
💡”现在服务两个客户:人类和AI。因为就这两种客户在用,所以我们做软件,要人类和AI都能看得懂,用的了。JSON是个好格式。”
这句话不是营销文案,是这个工具的设计哲学——流量即数据,JSON即标准,AI和人都能消费。
加上”你只负责点点点,其他都交给它”这个 slogan,以及无害化漏洞扫描的思路,我觉得值得写一篇。
01
这个工具是什么
facai 是一个HTTP流量驱动的综合资产管理和漏洞扫描工具,作者 guimaizi,Python + Flask + MongoDB 构建。
02
对比传统方案
03
核心功能解析
资产管理
子域名、站点、HTTP 请求、HTML 大文件、IP/C 段资产、重点资产——全部统一管理,支持批量导入导出。
辅助工具
HTTP 请求重放(支持 JSON 和 Burp 格式)、编码解码、端口扫描。
04
怎么用
环境要求
| 组件 | 要求 | | — | — | | 操作系统 | Windows | | 数据库 | MongoDB | | 语言 | Python 3+ | | 可选浏览器 | Chrome(动态爬虫) | | 可选代理 | BurpSuite(辅助分析) |
安装部署
SHELL · 安装
# 安装依赖pip install -r requirements.txt# 启动(Windows)start.bat
代理配置流程
SHELL · 代理配置
# 1. 浏览器代理指向 mitmproxy 端口(默认 18081)# 2. BurpSuite 转发指向 mitmproxy 端口(默认 8080 → 18081)# 3. 开始浏览目标站点,流量自动入库
ℹ️配置示例在 config.json 文件中,包含 Burp、Chrome、MITMProxy 等所有端口配置,可按需修改。
05
实际能干什么
06
评价感受
老宋
说两句
facai 不是一个功能堆砌的工具,作者有自己想表达的东西——流量即资产,JSON即标准,AI和人都能消费。
这个设计哲学,比大多数开源测绘工具多了一层思考。现阶段它还不够完美,43个Star 说明还早期,但思路值钱。
对渗透测试工程师来说,这个工具适合两类场景:一是甲方交付,要求干净;二是长期监控,要求增量。如果你正好有这类需求,收藏它。
最后说一句——作者说”传统安全已经死了”,这话我不敢全同意,但有一点他说对了:只靠主动发包扫描的年代,确实过去了。
项目地址:https://github.com/guimaizi/facai环境要求:Windows + MongoDB + Python 3
往期精彩
杀毒软件可能有漏洞:360和金山毒霸内核驱动高危风险
2026年国内镜像源指南:35个常用源+全场景使用方法
影子资产、ICMP打点、无文件驻留——内网渗透的三个新趋势
🔐 我是网络安全老宋
专注把安全威胁翻译成你听得懂的实操建议。
每周推送漏洞预警、工具测评、攻防笔记。
如果觉得有用,点个在看,转发给你身边的朋友,就是对我莫大的支持。
我们下期见 👋
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络安全老宋 宝十八 宝十八《安全工具新思路:facai 流量驱动的资产测绘与漏洞扫描》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论