Hetty HTTP安全研究审计工具使用指南

一、Hetty工具概述

Hetty是一款针对安全研究设计的HTTP工具套件，旨在成为商业软件（如BurpSuite Pro）的开源替代产品。该工具专为信息安全研究人员和漏洞猎人社区定制开发，具有以下核心功能：

中间人攻击功能，提供包含日志记录的HTTP/1.1代理
基于项目的数据库存储（SQLite）
Scope支持功能
使用GraphQL实现的管理API
嵌入式Web接口（js）

注意：当前版本仍处于前期开发阶段，后续版本将添加更多功能。

二、安装方法

1. 预构建版本安装（推荐）

访问项目Releases页面下载对应操作系统平台（支持Linux、macOS和Windows）的Hetty。

2. 从源码构建

依赖组件：

SQLite (mattn/go-sqlite3)
cgo（用于编译）
Yarn（用于生成管理员面板静态资源）
go.rice（用于嵌入静态资源到.go文件）

构建步骤：

$ git clone git@github.com:dstotijn/hetty.git
$ cd hetty
$ make build

3. Docker安装

Hetty提供Docker镜像（dstotijn/hetty），如需持久存储CA证书和项目数据库，需加载卷宗：

$ mkdir -p $HOME/.hetty
$ docker run -v $HOME/.hetty:/root/.hetty -p 8080:8080 dstotijn/hetty

三、基本使用

1. 启动工具

确保hetty路径已加入$PATH环境变量后运行：

$ hetty

2. 命令行参数

$ hetty -h
Usage of ./hetty:
  -addr string
        TCP address to listen on, in the form "host:port" (default ":8080")
  -adminPath string
        File path to admin build
  -cert string
        CA certificate filepath. Creates a new CA certificate is file doesn't exist (default "~/.hetty/hetty_cert.pem")
  -key string
        CA private key filepath. Creates a new CA private key if file doesn't exist (default "~/.hetty/hetty_key.pem")
  -projects string
        Projects directory path (default "~/.hetty/projects")

启动后默认监听8080端口，可通过http://localhost:8080访问。

四、证书配置

1. 生成CA证书

方法一：使用Hetty自动生成

首次运行Hetty时，会自动在~/.hetty/目录下生成：

hetty_key.pem（私钥）
hetty_cert.pem（证书）

方法二：使用OpenSSL手动生成

mkdir ~/.hetty
openssl req -newkey rsa:2048 -new -nodes -x509 -days 31 -keyout ~/.hetty/hetty_key.pem -out ~/.hetty/hetty_cert.pem

2. 信任CA证书

Ubuntu系统：

sudo cp ~/.hetty/hetty_cert.pem /usr/local/share/ca-certificates/hetty.crt
sudo update-ca-certificates

Windows系统：

使用证书管理器（certmgr.msc）添加证书

macOS系统：

使用钥匙串访问程序（Application/Utilities/Keychain Access.app）添加证书

五、项目结构

默认配置下，Hetty会在用户主目录下创建.hetty目录：

Linux/macOS: $HOME/.hetty
Windows: %USERPROFILE%.hetty

目录包含：

项目数据库
CA证书和私钥
其他配置文件

六、功能特点详解

中间人代理：
- 支持HTTP/1.1协议
- 完整的请求/响应日志记录
- HTTPS流量拦截（需安装CA证书）
项目管理：
- 基于SQLite的数据库存储
- 支持项目隔离
- 可自定义项目存储路径
Scope支持：
- 可定义目标范围
- 便于聚焦特定域或URL
管理接口：
- 基于GraphQL的API
- 嵌入式Web管理界面
- 直观的UI操作

七、使用建议

安全研究：
- 用于Web应用安全测试
- 漏洞挖掘和验证
- API安全分析
开发调试：
- HTTP请求/响应分析
- API调试
- 流量监控
教育学习：
- HTTP协议学习
- 安全工具实践
- Web技术研究

八、注意事项

该工具仍处于开发阶段，生产环境使用需谨慎
拦截HTTPS流量必须正确安装CA证书
默认配置可能不适合所有场景，建议根据需求调整
项目数据库定期备份以防数据丢失

九、项目资源

GitHub仓库: https://github.com/dstotijn/hetty
许可证: MIT开源许可证

通过本指南，您应该能够全面了解Hetty的功能特性并开始使用它进行HTTP安全研究和审计工作。随着工具的持续开发，建议关注项目更新以获取最新功能。

Hetty HTTP安全研究审计工具使用指南一、Hetty工具概述 Hetty是一款针对安全研究设计的HTTP工具套件，旨在成为商业软件（如BurpSuite Pro）的开源替代产品。该工具专为信息安全研究人员和漏洞猎人社区定制开发，具有以下核心功能：中间人攻击功能，提供包含日志记录的HTTP/1.1代理基于项目的数据库存储（SQLite） Scope支持功能使用GraphQL实现的管理API 嵌入式Web接口（js）注意：当前版本仍处于前期开发阶段，后续版本将添加更多功能。二、安装方法 1. 预构建版本安装（推荐）访问项目 Releases页面下载对应操作系统平台（支持Linux、macOS和Windows）的Hetty。 2. 从源码构建依赖组件： SQLite (mattn/go-sqlite3) cgo（用于编译） Yarn（用于生成管理员面板静态资源） go.rice（用于嵌入静态资源到.go文件）构建步骤： 3. Docker安装 Hetty提供Docker镜像（dstotijn/hetty），如需持久存储CA证书和项目数据库，需加载卷宗：三、基本使用 1. 启动工具确保hetty路径已加入$PATH环境变量后运行： 2. 命令行参数启动后默认监听8080端口，可通过http://localhost:8080访问。四、证书配置 1. 生成CA证书方法一：使用Hetty自动生成首次运行Hetty时，会自动在~/.hetty/目录下生成： hetty_ key.pem（私钥） hetty_ cert.pem（证书）方法二：使用OpenSSL手动生成 2. 信任CA证书 Ubuntu系统： Windows系统：使用证书管理器（certmgr.msc）添加证书 macOS系统：使用钥匙串访问程序（Application/Utilities/Keychain Access.app）添加证书五、项目结构默认配置下，Hetty会在用户主目录下创建.hetty目录： Linux/macOS: $HOME/.hetty Windows: %USERPROFILE%\.hetty 目录包含：项目数据库 CA证书和私钥其他配置文件六、功能特点详解中间人代理：支持HTTP/1.1协议完整的请求/响应日志记录 HTTPS流量拦截（需安装CA证书）项目管理：基于SQLite的数据库存储支持项目隔离可自定义项目存储路径 Scope支持：可定义目标范围便于聚焦特定域或URL 管理接口：基于GraphQL的API 嵌入式Web管理界面直观的UI操作七、使用建议安全研究：用于Web应用安全测试漏洞挖掘和验证 API安全分析开发调试： HTTP请求/响应分析 API调试流量监控教育学习： HTTP协议学习安全工具实践 Web技术研究八、注意事项该工具仍处于开发阶段，生产环境使用需谨慎拦截HTTPS流量必须正确安装CA证书默认配置可能不适合所有场景，建议根据需求调整项目数据库定期备份以防数据丢失九、项目资源 GitHub仓库: https://github.com/dstotijn/hetty 许可证: MIT开源许可证通过本指南，您应该能够全面了解Hetty的功能特性并开始使用它进行HTTP安全研究和审计工作。随着工具的持续开发，建议关注项目更新以获取最新功能。