bugbounty-mcp-server - 侦察や脆弱性探査などのワークフローをサポート、REST APIを統合したMCPサーバー

たんさく

Bugbounty MCP Server

脆弱性報酬狩りに特化したMCPサーバーで、偵察、脆弱性発見、業務ロジックテストなどの専門的なワークフローとREST APIインターフェースを提供します。

セキュリティ開発者ツール #脆弱性報酬 #セキュリティテスト #ワークフロー生成 #APIインターフェース .Python

スコア : 2ポイント

ダウンロード数 : 6.3K

更新時間 : 2025-09-18

サイトを開く

Bug Bounty MCP Serverとは？

Bug Bounty MCP Serverは、脆弱性報酬狩りを行うハンター向けに特別に設計された自動化ツールサーバーです。REST APIを通じてさまざまなセキュリティテストワークフローを提供し、研究者が偵察、脆弱性スキャン、業務ロジックテストなどのタスクを自動的に実行できるようにし、脆弱性発見の効率を大幅に向上させます。

Bug Bounty MCP Serverをどのように使用するか？

簡単なHTTP API呼び出しでさまざまなセキュリティテスト機能を使用できます。ユーザーはターゲットのドメイン名とテストタイプを含むリクエストを送信するだけで、サーバーは詳細なセキュリティテストワークフローとコマンドを返します。Webアプリケーション、APIインターフェースなどのさまざまなテストシナリオをサポートします。

適用シナリオ

セキュリティ研究者、脆弱性報酬ハンター、ペネトレーションテスターに適しています。特に、Webアプリケーションのセキュリティテスト、APIのセキュリティ評価、ファイルアップロード脆弱性の検出、業務ロジック脆弱性の発見などのシナリオに最適です。

主要機能

自動化偵察

完全な偵察ワークフローを提供し、サブドメインの発見、ポートスキャン、サービス識別などの技術を含み、ターゲットの攻撃面を迅速に把握するのに役立ちます。

脆弱性スキャン

複数の脆弱性スキャンツールを統合し、Web脆弱性、APIセキュリティ脆弱性、設定エラーなどのさまざまなタイプのセキュリティ検出をサポートします。

業務ロジックテスト

業務ロジック脆弱性に特化したテストフレームワークで、認証バイパス、権限昇格などの複雑な脆弱性を発見するのに役立ちます。

ファイルアップロード検出

専用のファイルアップロード脆弱性テストツールセットで、複数のファイルタイプのバイパス検出と脆弱性の悪用をサポートします。

OSINT統合

オープンソースの情報収集ツールを統合し、ターゲットに関連する情報を自動的に収集し、攻撃に情報サポートを提供します。

REST APIインターフェース

シンプルなHTTP APIインターフェースを提供し、他のツールとの統合や自動化スクリプトの呼び出しを容易にします。

利点

すぐに使えるため、複雑な設定は不要です

脆弱性報酬シナリオに特化しており、機能の対象性が高いです

複数のセキュリティテストタイプとワークフローをサポートします

良好なツール統合と拡張性があります

詳細なドキュメントとサンプルが用意されています

制限

基本的なコマンドライン操作の知識が必要です

一部の高度な機能には追加のツールのインストールが必要です

自動化ツールは大量のネットワークトラフィックを生成する可能性があります

モラルハッカーの規則と許可されたテストを遵守する必要があります

使い方

依存関係をインストールする

uvパッケージマネージャーを使用してプロジェクトの依存関係をインストールし、Python 3.11以上の環境を確保します。

サーバーを起動する

サーバースクリプトを実行し、デバッグモードとカスタムポートの設定をサポートします。

APIインターフェースをテストする

curlまたはPostmanを使用してAPIインターフェースが正常に動作するかテストします。

セキュリティテストを開始する

返されたワークフローガイドに従ってセキュリティテストタスクを実行します。

使用例

Webアプリケーションの偵察

ターゲットのWebアプリケーションに対して全面的な情報収集と偵察を行い、潜在的な攻撃面を発見します。

APIのセキュリティテスト

REST APIインターフェースに対してセキュリティテストを行い、認証、承認、データ検証の脆弱性を発見します。

ファイルアップロード脆弱性の検出

ファイルアップロード機能のセキュリティをテストし、ファイルタイプの検出をバイパスして悪意のあるファイルを実行しようとします。

よくある質問

このサーバーを使用するために必要な技術的な背景は何ですか？

どのようなタイプの脆弱性テストをサポートしていますか？

追加のツールのインストールは必要ですか？

テストの合法性をどのように確保するか？

カスタムワークフローをサポートしていますか？

🚀 Bug Bounty MCP Server

バグバウンティハンティングのワークフローとREST APIエンドポイントを備えた、クリーンで焦点の絞られたサーバーです。

🚀 クイックスタート

1. 依存関係のインストールとサーバーの起動

# uvで依存関係をインストール
uv sync

# 開発用の依存関係をインストール（オプション）
uv sync --dev

# プリコミットフックを設定（開発時に推奨）
uv run pre-commit install

# サーバーを起動
uv run src/server.py

# または環境変数を使用して起動
DEBUG=true BUGBOUNTY_MCP_PORT=8888 uv run src/server.py

# または起動スクリプトを使用
./start-server.sh --debug --port 8888

2. APIのテスト

# レコナッサンスワークフローを作成
curl -X POST http://127.0.0.1:8888/api/bugbounty/reconnaissance-workflow \
  -H "Content-Type: application/json" \
  -d '{"domain": "example.com", "program_type": "web"}'

✨ 主な機能

クリーンなアーキテクチャ：コア機能を維持しながら、不必要な依存関係を削除しました。
バグバウンティに特化：レコナッサンス、脆弱性探索、ビジネスロジックテスト、OSINT、ファイルアップロードテストなどの専用ワークフローが用意されています。
REST APIエンドポイント：ワークフローの生成と管理を行うためのシンプルなHTTP APIが提供されます。
包括的な評価：複数のワークフローを組み合わせることで、完全なバグバウンティ評価が可能です。

🔧 技術詳細

コアコンポーネント

REST APIサーバー (src/server.py) - バグバウンティワークフローエンドポイントを備えたFlaskベースのHTTP APIサーバー
MCPサーバー (src/mcp_server.py) - AIエージェントとの通信を行うFastMCPベースのサーバー
バグバウンティワークフロー - テストの各フェーズに特化したワークフロー生成
ツール統合 - 包括的なセキュリティテストツールのコレクション

📦 インストール

環境変数

BUGBOUNTY_MCP_PORT: サーバーのポート（デフォルト: 8888）
BUGBOUNTY_MCP_HOST: サーバーのホスト（デフォルト: 127.0.0.1）
DEBUG: デバッグモードを有効にする（デフォルト: false）

使用例

# デフォルト設定で起動
uv run src/server.py

# カスタム設定で起動
DEBUG=true BUGBOUNTY_MCP_PORT=9999 BUGBOUNTY_MCP_HOST=0.0.0.0 uv run src/server.py

✨ 主な機能の詳細

バグバウンティワークフロー管理：バグバウンティハンティングの各フェーズに対応した完全なワークフロー生成が可能です。
脆弱性の優先順位付け：影響度とバウンティの可能性に基づいたインテリジェンス駆動型の優先順位付けが行われます。
ファイルアップロードテスト：ファイルアップロード脆弱性テストのための専用フレームワークが用意されています。
OSINT統合：包括的なOSINT収集ワークフローが提供されます。
ビジネスロジックテスト：ビジネスロジックの脆弱性発見に対する構造化されたアプローチが採用されています。

📦 依存関係

このプロジェクトでは、高速で信頼性の高い依存関係管理のためにuvを使用しています。

コア依存関係

Flask：REST API用のWebフレームワーク
FastMCP：MCPサーバーフレームワーク
Requests：HTTPクライアントライブラリ
Python 3.11+：コアランタイム（Python 3.11、3.12、3.13をサポート）

開発用依存関係

Ruff：高速なPythonリンターとフォーマッター
Bandit：セキュリティ脆弱性スキャナー
Pydocstyle：ドキュメント品質チェッカー
Pyright：静的型チェッカー
Pre-commit：Gitのプリコミットフックフレームワーク

依存関係のインストール：

uv sync                # コア依存関係のみ
uv sync --dev         # 開発ツールも含める

新しい依存関係の追加：

uv add package-name

📚 コード品質

このプロジェクトでは、自動化されたプリコミットフックを通じてコード品質を保証しています。

# プリコミットフックのインストール
uv run pre-commit install

# すべてのファイルに対してチェックを実行
uv run pre-commit run --all-files

# 特定のチェックを実行
uv run ruff check          # リンティング
uv run ruff format         # フォーマット
uv run bandit -c pyproject.toml # セキュリティスキャン
uv run pydocstyle          # ドキュメントチェック

標準: