Lonkero 是 Bountyy Oy 做的一款专业级 Web 安全扫描器,官方定位很直接:Wraps around your attack surface。它不是面向普通站长的一键体检工具,而更偏渗透测试、红队、安全顾问和企业安全团队使用的扫描引擎,重点放在真实漏洞、较低误报、现代 Web 技术栈识别和报告输出。
项目代码公开在 GitHub,当前约 809 stars、58 forks,但需要注意:仓库许可证标注为 Proprietary,官网也写明下载和浏览器扩展都需要 active Lonkero license。也就是说,它可以公开查看源码和文档,但不应按常规开源软件来理解。
它主要扫描什么
官网和 README 都强调 Lonkero 面向真实渗透测试场景:SQL 注入、XSS、SSRF、命令注入、路径穿越、JWT、OAuth、IDOR/BOLA、GraphQL、WebSocket、CORS、Headers、CVE、框架特定漏洞等都在覆盖范围内。README 中提到 126+ security scanners,官网则把商业版本按 Professional、Team、Enterprise 分层,模块数量从 81 到 121 不等。
它的一个卖点是“知道你的技术栈”。扫描前会识别 React、Next.js、Vue、Django、Laravel、Express、Rails、FastAPI、Nginx、Apache、Cloudflare、AWS 等环境,再决定哪些测试更值得跑。对于无法识别技术栈的情况,README 反而强调会进入 fallback 层,跑更多通用测试。
比较有意思的能力
- Proof-based XSS:v3.6 后用纯 HTTP 和上下文/转义分析替代 Chrome 依赖,减少浏览器冻结和长时间等待。
- Zero OOB blind SQLi:用时间相关性、布尔差异和数据提取等方式做盲注判断,不依赖外部 callback 服务。
- AI 交互测试:v3.7 引入
lonkero ai,可以用自然语言让 AI 先做 recon,再选择具体模块和端点进行“外科手术式”测试。 - 浏览器扩展:Chrome/Edge/Brave 等 Chromium 浏览器可安装扩展,支持实时 XSS、CMS、GraphQL、表单 fuzzing 和请求观察。
- 报告输出:支持 HTML、PDF、JSON、CSV、SARIF、Markdown 等格式,SARIF 可接入 GitHub Security / GitLab SAST 流程。
价格和适用边界
官网列出的商业价格是 Professional €390/年、Team €1,990/年、Enterprise €3,960/年,并声明商业使用需要对应 license。它还把 VoidFuzz 作为商业许可证附带工具包,用于 Apple 平台安全研究。
如果你只是想找一个免费的网站安全检查器,Lonkero 可能不是最合适的入口;但如果你关注现代应用的攻击面、想要把扫描、浏览器辅助、AI 引导测试和报告输出放进一个 Rust 工具链里,它值得研究。尤其是 AI coding 时代 README 隐形 prompt injection 这类供应链检测,也让它和传统 Web scanner 有一点不同。
项目地址
项目地址:https://github.com/bountyyfi/lonkero
官网文档:https://lonkero.bountyy.fi/en
原创文章,如若转载,请注明出处:https://wefound.cc/p/2564.html
