加入 Gitee

与超过 1200万开发者一起发现、参与优秀开源项目，私有仓库也完全免费：）

克隆/下载

使用教程.rst 7.67 KB

使用教程
======================

管理员
++++++++++++++++++++++

上传客户端
----------------------
管员理登录到后台之后进入管理设置->客户端管理，下载hunter-chrome-client.zip然后解压出来，得到如下文件

.. image:: ../images/install/client_use_1.png
    :width: 800

其中DOMAIN和HOST_NAME分别修改成HunterAdminApi和HunterAdminGui服务的地址。修改完成之后打包成zip包之后上传即可，下次普通用户下载到的就是最新的客户端。

开启代理
----------------------
网络代理默认关闭，需要管理员登录进入HunterAdminApi/networkproxy进行(默认端口是8088)::

python3 proxy_server.py

回显设置
----------------------
启动HunterSense()之后进入后台->系统设置->回显设置将ip改成HunterSense服务ip即可(HunterSense最好在外网部署，HunterSense详细教程可见HunterSense中的readme.md)

.. image:: ../images/install/use_29.png
    :width: 800

.. note::
    注意修改标红的位置

普通用户
++++++++++++++++++++++

特别说明：每次重新安装或者通过卸载再安装之后都需要刷新当前网页。因为浏览器插件无法操作安装之前的页面权限,关闭任务和打开任务都请务必在打开网页的情况下，比如下图A这种情况是允许的，B这种情况下是不允许的。

.. image:: ../images/use/a.png
    :width: 800

*图1. A情况(打开任意网页)*

.. image:: ../images/use/b.png
    :width: 800

*图2. B情况(不打开网页)*

hunter-client只有在网页中才有权限使用插件，详情可以见-特别要注意的点。*

登录
----------------------
在使用过程，有时会提示回话过期或者失效，这时候需要按照跳转进行登录，ldap或者默认基础账号登录(无论是使用hunter-client还是登录查看扫描结果都可能需要扫描)。

客户端(chrome插件)使用教程
----------------------------

新建扫描任务
^^^^^^^^^^^^^^^^^^^^^^^

基本配置
````````````````

在开始一个扫描任务之前，需要做一些基本的配置，包括:

#. 包含本次的扫描任务名称(新建任务之后不能更改).
#. 漏洞检测任务结束之后需要通知的邮箱(新建任务之后不能更改).
#. 需要捕获接口的网址正则((新建任务之后可动态修改).

打开一个任意网页，然后点击hunter-client 下的设置按钮进入基本配置页面

.. image:: ../images/use/use_1.jpg
    :width: 800

*图3.创建任务之前开始设置*

.. image:: ../images/use/use_2.png
    :width: 800

*图4.任务设置中心*

阅读并统一用户协议
````````````````````````````````
在进行了一次基本的任务配置之后，点击hunter-client的开始按钮，将回弹出用户协议，请仔细阅读用户协议之后点击我已阅读并同意此协议。

.. image:: ../images/use/use_3.png
    :width: 800

无论创建成功还是失败都会有提示，请按照提示去做。

创建任务成功
``````````````

.. image:: ../images/use/use_4.png
    :width: 800

.. note::
    此时hunter-client变成红色，表示任务已经成功开始，这时候就可以进行正常的用户qa测试流程了，整个过程不需要人工进行任何干预。

插件同步任务
^^^^^^^^^^^^^^^^^^^^^^^
对于在平台上新建的任务，可以使用插件一键同步任务，同步任务成功以后，插件也将变成红色状态。

.. image:: ../images/use/use_25.png
    :width: 800

交互测试
^^^^^^^^^^^^^^^^^^^^^^^

在正确的配置完之后，用户可以进行正常的功能测试，功能测试过程中的网络请求将会被发送到hunter后端进行解析并进行安全分析。详情可以看插件的背景页:

具体查看方法如下

.. image:: ../images/use/use_5.png
    :width: 800

*打开拓展中心*

.. image:: ../images/use/use_6.png
    :width: 800

*开启开发者模式，并点击背景页*

.. image:: ../images/use/use_7.png
    :width: 800

*调试模式*

如果调试模式下，接口console没有任何输出，请确定插件中网址正则是否配对，注意，没有没有配置是抓取不到接口的，没有配对的话，直接来到插件设置，修改网址正则，保存，修改网址正则不需要关闭任务->新建任务，直接在原基础中修改即可。

.. image:: ../images/use/use_8.png
    :width: 800

*console没有任何输出*

.. image:: ../images/use/use_9.png
    :width: 800

*正则配错(xx的测试环境应该还有8080)*

.. image:: ../images/use/use_10.png
    :width: 800

*配置正确之后，发现有接口*

保存之后，再进行交互发现就有接口了。网址正则在结束任务之前可以任意修改，请注意匹配到要测试的接口，不要匹配www.baidu.com或者www.google.com之类和本次测试无关的接口，所有的操作都有严格记录。

结束扫描任务
^^^^^^^^^^^^^^^^^^^^^^^
点击hunter-client 的停止按钮，会弹出提醒，点击确定将会结束本次扫描任务

.. image:: ../images/use/use_11.png
    :width: 800

结束任务之后，插件会变成蓝色，任务关闭状态

查看扫描结果
^^^^^^^^^^^^^^^^^^^^^^^

hunter-server扫描完成之后，会自动发邮件给任务创建人(邮件中包含扫描报告)，你也可以通过登录hunter后台查看自己的扫描结果。

.. image:: ../images/use/use_12.png
    :width: 800

历史统计报表
````````````````

汇总了个人所有扫描的记录

.. image:: ../images/use/use_13.jpg
    :width: 800

扫描记录查看
````````````````
历史扫描记录

.. image:: ../images/use/use_14.jpg
    :width: 800

单个漏洞详细描述

.. image:: ../images/use/use_15.jpg
    :width: 800

客户端(网络代理)使用教程
---------------------------

新建扫描任务
^^^^^^^^^^^^^^^^^^^^^^^

在hunter平台新建一个任务，注意需要填写任务基本信息，登录平台后，测试环境和生产环境的地址不要搞混了，经常出现使用测试环境代理服务，然后上生产环境平台新建任务的，这样在生产环境是看不到结果的。

.. image:: ../images/use/use_16.png
    :width: 800

*新建任务*

.. image:: ../images/use/use_17.png
    :width: 800

*填写任务信息*

.. image:: ../images/use/use_18.png
    :width: 800

*正在运行的任务*

这时候是可以看到任务处于运行中，当然允许用户新建多个任务，但是代理服务只会将捕获到的接口放入到正在运行任务之中，所以建议用户待测试完成一个任务之后再继续其他任务。另外通过插件新建的任务也可以在平台上查看哦。

.. image:: ../images/use/use_19.png
    :width: 800

*新建任务2*

.. image:: ../images/use/use_20.png
    :width: 800

*多个任务(但是捕获到所有的接口只会归类于任务2中)*

.. note::
    如果想归类于任务3，必须结束任务2。

配置代理
^^^^^^^^^^^^^^^^^^^^^^^

浏览器配置代理，支持跨平台，跨浏览器，以下以chrome为例:

.. image:: ../images/use/use_21.png
    :width: 800

*代理设置*

.. image:: ../images/use/use_22.png
    :width: 800

*设置浏览器代理*

交互测试
^^^^^^^^^^^^^^^^^^^^^^^
配置完任务和浏览器代理之后，打开要进行安全测试的网页，第一次使用代理需要进行basic认证(默认两小时过期)，填入账号密码进行认证(目前支持默认账号密码，ldap认证)。

.. image:: ../images/use/use_23.png
    :width: 800

*basic认证*

.. image:: ../images/use/use_26.png
    :width: 800

*后台无任务*

结束任务
^^^^^^^^^^^^^^^^^^^^^^^
在平台上结束任务，即可。

.. image:: ../images/use/use_24.png
    :width: 800

注意事项
----------------------

测试过程中会产生大量的脏数据，请不要在生产环境进行测试。

一键复制编辑原始数据按行查看历史

提交于 2020-01-10 18:22 . 上传版本

使用教程

管理员

上传客户端

管员理登录到后台之后进入管理设置->客户端管理，下载hunter-chrome-client.zip然后解压出来，得到如下文件

../images/install/client_use_1.png

其中DOMAIN和HOST_NAME分别修改成HunterAdminApi和HunterAdminGui服务的地址。修改完成之后打包成zip包之后上传即可，下次普通用户下载到的就是最新的客户端。

开启代理

网络代理默认关闭，需要管理员登录进入HunterAdminApi/networkproxy进行(默认端口是8088):

python3 proxy_server.py

回显设置

启动HunterSense()之后进入后台->系统设置->回显设置将ip改成HunterSense服务ip即可(HunterSense最好在外网部署，HunterSense详细教程可见HunterSense中的readme.md)

../images/install/use_29.png

Note

注意修改标红的位置

普通用户

特别说明：每次重新安装或者通过卸载再安装之后都需要刷新当前网页。因为浏览器插件无法操作安装之前的页面权限,关闭任务和打开任务都请务必在打开网页的情况下，比如下图A这种情况是允许的，B这种情况下是不允许的。

../images/use/a.png

图1. A情况(打开任意网页)

../images/use/b.png

图2. B情况(不打开网页)

hunter-client只有在网页中才有权限使用插件，详情可以见-特别要注意的点。*

登录

在使用过程，有时会提示回话过期或者失效，这时候需要按照跳转进行登录，ldap或者默认基础账号登录(无论是使用hunter-client还是登录查看扫描结果都可能需要扫描)。

客户端(chrome插件)使用教程

新建扫描任务

基本配置

在开始一个扫描任务之前，需要做一些基本的配置，包括:

包含本次的扫描任务名称(新建任务之后不能更改).
漏洞检测任务结束之后需要通知的邮箱(新建任务之后不能更改).
需要捕获接口的网址正则((新建任务之后可动态修改).

打开一个任意网页，然后点击hunter-client 下的设置按钮进入基本配置页面

../images/use/use_1.jpg

图3.创建任务之前开始设置

../images/use/use_2.png

图4.任务设置中心

阅读并统一用户协议

在进行了一次基本的任务配置之后，点击hunter-client的开始按钮，将回弹出用户协议，请仔细阅读用户协议之后点击我已阅读并同意此协议。

../images/use/use_3.png

无论创建成功还是失败都会有提示，请按照提示去做。

创建任务成功

../images/use/use_4.png

Note

此时hunter-client变成红色，表示任务已经成功开始，这时候就可以进行正常的用户qa测试流程了，整个过程不需要人工进行任何干预。

插件同步任务

对于在平台上新建的任务，可以使用插件一键同步任务，同步任务成功以后，插件也将变成红色状态。

../images/use/use_25.png

交互测试

在正确的配置完之后，用户可以进行正常的功能测试，功能测试过程中的网络请求将会被发送到hunter后端进行解析并进行安全分析。详情可以看插件的背景页:

具体查看方法如下

../images/use/use_5.png

打开拓展中心

../images/use/use_6.png

开启开发者模式，并点击背景页

../images/use/use_7.png

调试模式

如果调试模式下，接口console没有任何输出，请确定插件中网址正则是否配对，注意，没有没有配置是抓取不到接口的，没有配对的话，直接来到插件设置，修改网址正则，保存，修改网址正则不需要关闭任务->新建任务，直接在原基础中修改即可。

../images/use/use_8.png

console没有任何输出

../images/use/use_9.png

正则配错(xx的测试环境应该还有8080)

../images/use/use_10.png

配置正确之后，发现有接口

保存之后，再进行交互发现就有接口了。网址正则在结束任务之前可以任意修改，请注意匹配到要测试的接口，不要匹配www.baidu.com或者www.google.com之类和本次测试无关的接口，所有的操作都有严格记录。

结束扫描任务

点击hunter-client 的停止按钮，会弹出提醒，点击确定将会结束本次扫描任务

../images/use/use_11.png

结束任务之后，插件会变成蓝色，任务关闭状态

查看扫描结果

hunter-server扫描完成之后，会自动发邮件给任务创建人(邮件中包含扫描报告)，你也可以通过登录hunter后台查看自己的扫描结果。

../images/use/use_12.png

历史统计报表

汇总了个人所有扫描的记录

../images/use/use_13.jpg

扫描记录查看

历史扫描记录

../images/use/use_14.jpg

单个漏洞详细描述

../images/use/use_15.jpg

客户端(网络代理)使用教程

新建扫描任务

在hunter平台新建一个任务，注意需要填写任务基本信息，登录平台后，测试环境和生产环境的地址不要搞混了，经常出现使用测试环境代理服务，然后上生产环境平台新建任务的，这样在生产环境是看不到结果的。

../images/use/use_16.png

新建任务

../images/use/use_17.png

填写任务信息

../images/use/use_18.png

正在运行的任务

这时候是可以看到任务处于运行中，当然允许用户新建多个任务，但是代理服务只会将捕获到的接口放入到正在运行任务之中，所以建议用户待测试完成一个任务之后再继续其他任务。另外通过插件新建的任务也可以在平台上查看哦。

../images/use/use_19.png

新建任务2

../images/use/use_20.png

多个任务(但是捕获到所有的接口只会归类于任务2中)

Note

如果想归类于任务3，必须结束任务2。

配置代理

浏览器配置代理，支持跨平台，跨浏览器，以下以chrome为例:

../images/use/use_21.png

代理设置

../images/use/use_22.png

设置浏览器代理

交互测试

配置完任务和浏览器代理之后，打开要进行安全测试的网页，第一次使用代理需要进行basic认证(默认两小时过期)，填入账号密码进行认证(目前支持默认账号密码，ldap认证)。

../images/use/use_23.png

basic认证

../images/use/use_26.png

后台无任务

结束任务

在平台上结束任务，即可。

../images/use/use_24.png

注意事项

测试过程中会产生大量的脏数据，请不要在生产环境进行测试。

Python

1

https://gitee.com/zto_express/hunter.git

git@gitee.com:zto_express/hunter.git

zto_express

hunter

hunter

master