业务和功能介绍
立项背景:漏洞挖掘流程高度碎片化——侦察用一套工具,审计用另一套,报告再
手工整理。一个目标从拿到域名到产出报告通常需要切换 4-5 个工具,耗时 2-4
小时。目标是造一个扔什么进去都能自动识别、走对应流水线、最后产出结构化报
告的统一调度器。
核心功能:输入任意目标(域名/源码仓库/APK/JWT Token/合约地址/Dockerfile/
GraphQL端点/API端点),系统自动检测目标类型,路由到 8 条专项流水线之一:
Web 域名走 subfinder→httpx→nuclei 全链;源码仓库走 scanner-45→semgrep→
gitleaks 三引擎并行;JWT 走 alg:none + RS→HS 混淆 + 弱密钥爆破。19 个安全
专用 Agent 按漏洞类型分工,dispatch-router 用 15 条 regex 规则实现智能匹
配,Top-2 Agent 分数差距≤2 时触发歧义检测,要求先澄清再动手。
业务流程:用户扔目标 → 类型自动检测(8 种类型识别,含 confidence 评分)
→ 路由到对应流水线 → 多维扫描 → 增量去重(SHA256 指纹,SQLite 持久化)
→ 降噪评分(负分滤掉 favicon/WAF/IP 指纹等噪音,正分加权 CVE/XSS/SQLi
等真实漏洞)→ 结构化 JSON 报告 + 人读摘要 → 通知 Dashboard/桌宠完成。
手工整理。一个目标从拿到域名到产出报告通常需要切换 4-5 个工具,耗时 2-4
小时。目标是造一个扔什么进去都能自动识别、走对应流水线、最后产出结构化报
告的统一调度器。
核心功能:输入任意目标(域名/源码仓库/APK/JWT Token/合约地址/Dockerfile/
GraphQL端点/API端点),系统自动检测目标类型,路由到 8 条专项流水线之一:
Web 域名走 subfinder→httpx→nuclei 全链;源码仓库走 scanner-45→semgrep→
gitleaks 三引擎并行;JWT 走 alg:none + RS→HS 混淆 + 弱密钥爆破。19 个安全
专用 Agent 按漏洞类型分工,dispatch-router 用 15 条 regex 规则实现智能匹
配,Top-2 Agent 分数差距≤2 时触发歧义检测,要求先澄清再动手。
业务流程:用户扔目标 → 类型自动检测(8 种类型识别,含 confidence 评分)
→ 路由到对应流水线 → 多维扫描 → 增量去重(SHA256 指纹,SQLite 持久化)
→ 降噪评分(负分滤掉 favicon/WAF/IP 指纹等噪音,正分加权 CVE/XSS/SQLi
等真实漏洞)→ 结构化 JSON 报告 + 人读摘要 → 通知 Dashboard/桌宠完成。
项目实现
整体架构:纯 Python 单文件调度器(bounty-router.py,903 行)+ 独立流水线
模块 + dispatch-router.py(763 行多 Agent 路由)。零外部框架依赖,纯标准库
实现 HTTP 客户端替代 curl。SQLite 做增量状态管理——文件哈希比对跳过未变更
文件,semgrep 在变更率<10% 时自动跳过,避免重复扫描浪费资源。
工具链集成:Web 流水线调用 subfinder(子域枚举)→ httpx(存活探测 + 状态
码/Title 提取)→ katana(爬虫采集 JS 端点)→ nuclei(5 类模板并行扫:
misconfiguration/technologies/exposures/vulnerabilities/cves)。源码流水线
并行启动 scanner-45(自研 Python AST 扫描器)+ semgrep(p/security-audit +
p/secrets 双规则集)+ gitleaks。所有工具调用通过统一的 _run() 封装,超时
保护 + 异常捕获 + 结构化日志(RotatingFileHandler 5MB rolling)。
我负责全模块:类型检测引擎(9 种自动识别逻辑,JWT regex→文件扩展→目录
marker→URL pattern→Git URL→域名回退,含 confidence 三级评分)、8 条流水线
全部实现(Web/源码/APK/JWT/合约/GraphQL/API/Docker)、增量去重与降噪评分
系统(噪音负 30 分 vs 真实漏洞正 20 分加权)、19 个安全 Agent 分工矩阵 +
dispatch-router 的 15 条匹配规则 + 负例过滤防误抢、M/L/XL 三级复杂度分
级、歧义检测、Dashboard webhook 进度上报。量化结果:单目标扫描从原来的
2-4 小时人工切换工具缩减到 5-15 分钟全自动,原 80+ 个 Skill 精简到 8 个
核心常驻,每次会话省约 40K token。
遇到的主要难点:(1) nuclei 误报率高——大量 favicon-hash、WAF-detect、
missing-security-headers 类低价值命中淹没真实漏洞。解决方案是自研降噪评分
系统,定义 NOISE 和 SIGNAL 两套关键词库做加减分,过滤后有效命中率提升约
3-5 倍。(2) semgrep 在大仓扫描时耗时过长(>10分钟)。解决方案是引入增量
扫描——用 SQLite 记录文件哈希,只在变更率>10% 时触发 semgrep,其余情况跳
过,平均扫描耗时降低 60%。
模块 + dispatch-router.py(763 行多 Agent 路由)。零外部框架依赖,纯标准库
实现 HTTP 客户端替代 curl。SQLite 做增量状态管理——文件哈希比对跳过未变更
文件,semgrep 在变更率<10% 时自动跳过,避免重复扫描浪费资源。
工具链集成:Web 流水线调用 subfinder(子域枚举)→ httpx(存活探测 + 状态
码/Title 提取)→ katana(爬虫采集 JS 端点)→ nuclei(5 类模板并行扫:
misconfiguration/technologies/exposures/vulnerabilities/cves)。源码流水线
并行启动 scanner-45(自研 Python AST 扫描器)+ semgrep(p/security-audit +
p/secrets 双规则集)+ gitleaks。所有工具调用通过统一的 _run() 封装,超时
保护 + 异常捕获 + 结构化日志(RotatingFileHandler 5MB rolling)。
我负责全模块:类型检测引擎(9 种自动识别逻辑,JWT regex→文件扩展→目录
marker→URL pattern→Git URL→域名回退,含 confidence 三级评分)、8 条流水线
全部实现(Web/源码/APK/JWT/合约/GraphQL/API/Docker)、增量去重与降噪评分
系统(噪音负 30 分 vs 真实漏洞正 20 分加权)、19 个安全 Agent 分工矩阵 +
dispatch-router 的 15 条匹配规则 + 负例过滤防误抢、M/L/XL 三级复杂度分
级、歧义检测、Dashboard webhook 进度上报。量化结果:单目标扫描从原来的
2-4 小时人工切换工具缩减到 5-15 分钟全自动,原 80+ 个 Skill 精简到 8 个
核心常驻,每次会话省约 40K token。
遇到的主要难点:(1) nuclei 误报率高——大量 favicon-hash、WAF-detect、
missing-security-headers 类低价值命中淹没真实漏洞。解决方案是自研降噪评分
系统,定义 NOISE 和 SIGNAL 两套关键词库做加减分,过滤后有效命中率提升约
3-5 倍。(2) semgrep 在大仓扫描时耗时过长(>10分钟)。解决方案是引入增量
扫描——用 SQLite 记录文件哈希,只在变更率>10% 时触发 semgrep,其余情况跳
过,平均扫描耗时降低 60%。
示例图片视频
相似推荐
APP-校园帮拿
“校园帮拿”是一款面向高校学生的校园跑腿服务 App,主要解决学生在校园生活中快递代取、外卖代拿、超市代买、代打印、校内送物以及其他临时跑腿需求。平台要求用户注册时填写本校学号和学校信息,保证发布者与接单员均为本校学生,提高服务可信度和校园安全性。
核心功能包括用户注册登录、发布订单、订单大厅、接单处理、订单状态流转、加急订单收费、物品大小分类、图片上传、订单私信、已读显示、拍照沟通、投诉反馈和个人中心等。发布订单时用户可选择不同服务类型,并根据业务场景填写对应信息,例如快递取件码、外卖尾号、商品清单、打印要求、物品大小等。跑腿员可在订单大厅查看同校待接订单,接单后与发布者开启订单私信通道,便于沟通取件、送达和异常情况。订单完成后,平台自动计算平台服务费和跑腿员收入,形成完整的校园跑腿闭环。
高校校园综合服务交流小程序
本项目针对高校校园信息分散、交流渠道不统一的痛点,开发了面向在校学生的一站式综合服务平台。核心覆盖发帖交流、失物招领、二手交易、校园资讯四大模块,支持用户注册登录、内容发布、评论互动、点赞收藏、搜索筛选等功能,实现了校园信息的集中化管理与高效流转。
点餐预订小程序
本小程序面向线下餐饮门店,集成到店预订、线上点餐、后厨出餐一体化,依托 AI 赋能提升点餐与运营效率。
基础功能:桌位预约预订、菜品浏览购物车、在线下单支付、订单状态查询、会员储值、优惠券核销,后厨自动接收订单打印出餐。
AI 特色功能:AI 智能配菜推荐,根据用餐人数、口味忌口、历史点餐记录自动搭配套餐;AI 语音点餐,顾客语音输入需求快速选菜;AI 客流预判,协助商家错峰备餐、智能设置桌位预留。
平台打通顾客、门店双向需求,降低人工点餐成本,优化用餐体验。
华人汇城市信息库
项目背景
为满足城市居民二手物品交易及线上开店需求,开发集成全城发布、周边好店、同城服务、顺风代驾及代理分销功能的小程序与APP,覆盖用户交易、开店、服务对接等全场景需求。
技术栈:uniapp+vue2+fastadmin
项目职责
基于FastIM插件完成私信与客服功能的落地实现
排查并修复订单、消息角标显示不准确问题,优化订单展示逻辑* 定位并解决分佣计算bug及入驻人脸认证报错问题
协同团队完成其他需求修改与功能重构任务,保障业务流程顺畅
微信平台小程序-餐厅点餐,预约
一、立项背景
餐饮业正加速从线下向线上迁移。传统电话预约、纸质菜单、人工记单的方式效率低下,顾客等位时间长、点餐体验差,餐厅人力成本高、翻台率也上不去。
运营中逐渐暴露出几个痛点:包间预约全靠前台手工记录,漏单重单时有发生;高峰期顾客反复催促服务员,体验大打折扣;老客想远程下单只能打电话,菜品说不清楚。于是决定做一款微信小程序,把预约、点餐、门店展示整合到一起,一站式解决这些问题。
二、项目目标
统一线上入口,把包间预约、远程点餐、扫码点餐整合进一个小程序,降低顾客使用门槛。预约和下单自助完成,服务员只负责确认和执行,单桌服务效率预计提升四成。通过每日推荐和特价菜品持续触达老客,促进复购。覆盖从浏览菜品到下单、等餐、回访的完整闭环。
三、功能模块
首页:顶部轮播展示活动与特惠。每日推荐网格展示四到六道主厨精选菜品,标注特价。四个快捷入口分别通向扫码点餐、远程点餐、包间预约、店面介绍。下方横向滚动展示今日特价。
在线点餐:经典双栏布局,左侧六个菜品分类,右侧对应菜品列表。每道菜显示名称、标签、现价、原价和月销量。可点击进入详情页,也可一键加入购物车。底部悬浮栏实时显示已选数量和合计金额。
菜品详情:大图展示,配合名称、评分、月售数据和价格对比。数量选择器支持加减操作。提供加入购物车和立即购买两个入口。
购物车与下单:支持修改数量、删除单项、一键清空。可切换堂食或外带,设置用餐人数和备注信息。确认后生成订单并跳转到订单列表页。
扫码点餐:调用微信原生扫一扫能力,扫描桌面二维码识别桌号,自动进入该桌点餐界面。顶部常驻桌号标签和重新扫码按钮,下单时自动关联桌号,无需手动输入。
包间预约:日期可选择今起三十天内任意日期,时段分为午餐和晚餐两档。三种包间可选:雅竹轩小包适合二到四人,兰亭阁中包适合六到八人,聚贤厅大包可容纳十到十六人。选包间后展开表单,填写姓名和手机号,可附加备注。提交前校验必填项和手机号格式。下方展示预约记录,支持一键取消。
店面介绍:展示门面、品牌故事、环境照片、服务设施和联系方式。支持一键拨号和一键复制地址。
订单管理:进行中和已完成两个切换。进行中订单呈现完整状态流,待确认状态可取消。历史订单支持再来一单,一键把之前的菜品重新加入购物车。
四、业务流程
堂食扫码:顾客到店→扫桌面二维码→识别桌号→浏览菜单→加入购物车→下单→厨房接单→上菜
远程外卖:打开小程序→点餐→分类浏览→加购→选择外带→下单→到店自取
包间预约:打开小程序→预约→选择日期→选择时段→选择包间→填写信息→确认预约→按时到店
五、导航结构
底部四个Tab:首页承载每日推荐和四个快捷入口,点餐是完整的分类菜单,预约包含包间预约和预约记录管理,我的展示订单列表和状态跟踪。
帮助文档
Copyright @ 2021-2024 程聚宝 | 浙ICP备2021014372号
人工客服