От идеи к экосистеме: Как я строю свой opensource-проект mute для пентеста

info@vsetut.pro

Стать автором

Вернуться

13.02.2026 01:40:16 | Хабр

Хабы: GitHub, Habr, IT-инфраструктура, Анализ и проектирование систем

Введение: один сканер, который всё изменил

Всё начинается с боли. Моя боль, как и у многих, кто только погружался в мир пентеста несколько лет назад, заключалась в рутине. Бесконечный поиск чувствительных файлов (.env, backup.zip, config.php и т.д.) на множестве целей, попытки автоматизировать этот процесс через какие-то кустарные скрипты, которые то пропускали важное, то работали вечность.

Первый «велосипед» — скрипт для массового анализа и упрощённого вапалайзинга — был медленным, с кучей миссов и в итоге отправился в корзину. Но зерно идеи осталось.

Спустя время, с новым опытом, я вернулся к этой задаче. Вместо патча старого кода сел и переписал всё с нуля. Так в 2025 году появился FullMute Scanner — быстрый, асинхронный сканер чувствительных данных. Он стал не просто инструментом, а фундаментом, на котором начала расти вся экосистема.

Задача: Быстрое и глубокое сканирование веб-приложений на наличие чувствительных файлов и векторов для атак.
Фишка: Асинхронность, гибкая настройка, обход классических WAF за счёт неочевидных векторов.
Статус: Стабильный core-проект, постоянно апдейтится.

Расширение горизонта: от веба к протоколам

Работая с веб-приложениями, я углубился в MITM-атаки. Изучая трафик, наткнулся на интересный вектор, связанный с Telegram-ботами. Сам Telegram использует защищённый MTProto, но его боты общаются по обычному HTTPS, и далеко не всегда разработчики проверяют сертификаты должным образом. Это открывало пространство для атак — например, спуфинга платежных данных в ботах-казино или магазинах.

Подробнее

Читайте также