Garden

登录态安全验证工作流平台

面向授权场景下的登录后应用面验证。补上匿名扫描器进不去、手工测试无法复用的那条断层。

GitHub
🔐

登录态驱动

通过 HTTP / Playwright 适配器执行真实登录,创建可复用的 AuthSession,进入 OA/ERP/管理后台等匿名扫描器无法覆盖的系统。

📋

完整工作流闭环

target → credential → login → session → inventory → checks → findings → evidence → retest → export,11 个 CLI 子命令组、32+ 命令全链路贯通。

🛡️

安全护栏默认开启

默认仅允许本地目标、不做破坏性检查、secret 不直接存储、evidence 默认脱敏、所有关键操作记审计日志。

为什么做这个项目

登录后安全验证,缺乏完整工作流

企业里真正难的,往往不是匿名站点扫描,而是登录后的业务系统——OA、ERP、管理后台、SSO 后系统,匿名扫描器根本进不去。

×登录动作不可复用
×测完之后不好交付
×页面/API 覆盖面不清楚
×修复后不好复测
×风险线索和证据不标准
×结果难进入团队流程
边界清晰

Garden 不是谁的替代品

≠ Burp / ZAP

代理流量、手工测试、主动扫描是它们的强项。Garden 补的是登录编排、inventory 盘点、证据脱敏、finding 生命周期与复测导出。

≠ Nuclei

通用模板扫描器偏匿名/协议级。Garden 做的是登录后业务路径的验证工作流,产出适合团队协作的结构化结果。

≠ Traffic Recorder

录制工具解决"流量怎么拿"。Garden 解决"拿到之后怎么办"——变成 inventory、findings、证据、复测对象。

≠ API 授权测试框架

API 越权工具只看接口权限。Garden 范围更广:浏览器态、页面态、接口态、登录后真实路径全都覆盖。

8 步工作流

从配置目标到导出报告,全流程贯通

01

配置目标

本地/测试环境
URL、类型、标签

02

凭证档案

多角色、环境变量
引用、不存真实 secret

03

测试登录

Playwright UI 或
HTTP 登录流程

04

建立 Inventory

页面、接口、参数
敏感点自动标记

05

低风险检查

调试泄露、后台暴露
IDOR 线索、上传入口

06

证据脱敏

请求/响应、截图
默认脱敏 token/secret

07

Finding 生命周期

状态流转、去重
复测、导出

08

导出交付

Markdown / JSON
CSV 进入团队流程

核心模块

8 个主要模块,各司其职

01

资产与目标管理

target 管理、标签、owner、安全护栏校验

02

凭证与登录配置

多角色、login 配置、secret 引用

03

登录编排

UI/HTTP 适配器、登录测试、统一 result

04

会话与状态

AuthSession 存储、生命周期、审计日志

05

Inventory 模块

页面、接口、参数清单、敏感点标记

06

Security Checks

低风险检查器、severity/confidence 判定

07

Evidence & Redaction

截图、请求响应预览、默认脱敏

08

Finding & Reporting

状态流转、去重、复测、MD/JSON/CSV 导出