使用说明

项目简介

WebAppSecurityScanner MCP 服务是一个基于 Model Context Protocol (MCP) 构建的 Web 应用程序安全扫描工具。它通过爬取目标 Web 应用，分析其结构和参数，检测潜在的安全漏洞，并生成相应的测试用例。该服务专注于发现 Web 应用的业务逻辑安全问题，并以标准化的 MCP 协议与客户端进行通信。

主要功能点

• Web 应用爬取: 自动爬取目标 Web 应用的页面，构建应用结构树，发现所有链接和表单。
• 表单和输入字段分析: 识别 Web 应用中的表单，提取表单中的输入字段及其类型，为后续的安全分析提供数据基础。
• 参数上下文分析: 分析 URL 和表单参数的安全上下文，识别潜在的安全风险区域，如 SQL 注入、跨站脚本攻击 (XSS) 等。
• 漏洞检测: 基于参数上下文分析结果，检测常见的 Web 应用漏洞模式。
• 测试用例生成: 为发现的潜在漏洞生成相应的测试用例，辅助安全测试人员进行深入验证。
• 可视化站点地图: 生成 Web 应用的站点地图，帮助用户直观了解应用结构。

安装步骤

1. 克隆仓库

   git clone https://github.com/yallasec/mcp_server_pt.git
   cd mcp_server_pt
   

2. 安装依赖

   pip install -r requirements.txt
   

服务器配置

MCP 客户端需要配置以下 JSON 信息才能连接到 WebAppSecurityScanner MCP 服务器：

{
  "server name": "WebAppSecurityScanner",
  "command": "python",
  "args": ["other.py"]
}

• 'server name': 服务器名称，可以自定义，用于在 MCP 客户端中标识该服务器。例如 '"WebAppSecurityScanner"'。
• 'command': 启动服务器的命令。由于 'other.py' 是 Python 脚本，这里设置为 '"python"'。
• 'args': 启动命令的参数，以列表形式提供。这里指定服务器主程序为 '"other.py"'。

请注意：MCP 客户端需要根据此配置信息，通过执行 'python other.py' 命令来启动 MCP 服务器，并建立连接进行后续操作。

基本使用方法

1. 启动 MCP 服务器: 在安装好依赖并完成配置后，首先需要启动 MCP 服务器。服务器程序为 'other.py'。

2. MCP 客户端连接: 使用 MCP 客户端工具，根据上述 服务器配置 中的信息连接到正在运行的 WebAppSecurityScanner MCP 服务器。

3. 调用 'crawl' 工具: 连接成功后，在 MCP 客户端中，可以调用服务器提供的 'crawl' 工具来启动 Web 应用扫描。'crawl' 工具需要目标 Web 应用的 URL 作为参数。例如，发送以下 JSON-RPC 请求：

   {
     "jsonrpc": "2.0",
     "method": "crawl",
     "params": {
       "url": "https://example.com"
     },
     "id": 1
   }
   

   • 'method': 指定要调用的工具方法，这里是 '"crawl"' (爬取)。
   • 'params': 工具方法的参数，以 JSON 对象形式提供。'url' 字段指定了要扫描的目标 Web 应用 URL，例如 '"https://example.com"'。
   • 'id': 请求 ID，用于匹配请求和响应。

   服务器将执行 Web 应用爬取和安全分析，并将结果返回给 MCP 客户端。扫描结果会保存在 'mcp_results.json' 文件中。