眼球检测器

快速浏览一下你的截图吧。

Eyeballer 专为大规模的网络渗透测试设计，旨在从海量的Web主机中找出“有趣”的目标。你可以像往常一样使用自己喜欢的截图工具（如 EyeWitness 或 GoWitness），然后将这些截图输入 Eyeballer，它会告诉你哪些很可能包含漏洞，哪些则不然。

立即在线试用：https://eyeballer.bishopfox.com

示例标签

老旧网站	登录页面

Web应用	自定义 404 页面

停靠域名

标签含义

老旧网站 布局僵硬、CSS 整体混乱，还带着一股典型的“说不清道不明”的味道——一看就知道是2000年代初设计的网站。老旧网站不仅难看，通常也极其脆弱。在寻找突破口时，这类网站往往是个宝库。

登录页面 登录页面对渗透测试非常有价值，它们表明系统存在你目前无法访问的额外功能。这也意味着可以进一步开展凭证枚举攻击。你可能会认为可以通过简单的启发式规则来识别登录页面，但实际上这非常困难。现代网站并不只是简单地使用一个我们可以 grep 到的 <input> 标签。

Web应用 这一标签说明该站点拥有更庞大的页面和功能集合，可作为攻击面。与仅有一个登录页面且无其他功能的站点，或只有默认 IIS 首页而无任何功能的站点不同，这个标签提示你这里存在一个可以进行攻击的 Web 应用程序。

自定义 404 页面 现代网站喜欢用可爱的自定义 404 页面，比如破损的机器人或伤心的小狗图片。不幸的是，它们在返回这些页面时，往往会同时返回 HTTP 200 响应码。更常见的情况是，“404”页面甚至根本不包含“404”字样。尽管视觉上很吸引人，但这些页面通常并无实际价值，Eyeballer 可以帮助你将其筛选出来。

停靠域名 停靠域名看起来很真实，但实际上并非有效的攻击面。它们通常是占位页，几乎没有任何实际功能，充斥着大量广告，而且通常并不是由我们的目标实体运营的。当指定的域名错误或已过期时，就会出现这类页面。随着时间的推移，找到并排除这些页面将变得非常有价值。

设置

通过 pip 下载所需包：

sudo pip3 install -r requirements.txt

如果你需要 GPU 支持：

sudo pip3 install -r requirements-gpu.txt

注意：为 TensorFlow 配置 GPU 的过程超出了本 README 的范围。你需要考虑硬件兼容性、安装驱动程序等，涉及的内容很多。因此，如果你想使用 GPU，这部分内容只能自行解决。不过，至少从 Python 包的角度来看，上述依赖文件已经为你准备好了。

预训练权重

获取最新的预训练权重，请查看 GitHub 上的发布页面。

训练数据 你可以在这里找到我们的训练数据：

https://www.kaggle.com/altf42600/pentest-screensots

训练数据中你需要两样东西：

1. images/ 文件夹，包含所有截图（已调整为 224x224 尺寸）
2. labels.csv 文件，包含所有标签

将这两者复制到 Eyeballer 代码树的根目录下。

此外，你还可以找到一个可以直接使用的预训练权重文件，无需重新训练：

1. bishop-fox-pretrained-vN.h5

该文件位于 GitHub 的“releases”部分，最新版本请在那里查找。

预测标签

注意：为了获得最佳效果，建议以原生的 1.6:1 宽高比截取网站屏幕截图，例如 1440x900。Eyeballer 会自动将图像缩放到合适的尺寸，但如果宽高比不正确，图像会被拉伸或压缩，从而影响预测性能。

要对一些截图进行分析，只需运行“预测”模式：

eyeballer.py --weights YOUR_WEIGHTS.h5 predict YOUR_FILE.png

或者针对整个目录中的文件：

eyeballer.py --weights YOUR_WEIGHTS.h5 predict PATH_TO/YOUR_FILES/

Eyeballer 会以人类可读格式（results.html 文件，方便浏览）和机器可读格式（results.csv 文件）输出结果。

性能

Eyeballer 的性能是通过评估数据集来衡量的，该数据集是从所有截图中随机抽取的 20%。由于这些截图从未用于训练，因此可以有效反映模型的实际表现。以下是最新结果：

总体二分类准确率	93.52%
全对全错准确率	76.09%

总体二分类准确率 通常就是我们所说的模型“准确率”，即对于任意一个标签，模型判断正确的概率。

全对全错准确率 则更为严格。在这种情况下，我们会综合考虑整张图片的所有标签，只要有任何一个标签判断错误，就被视为失败。这一指标反映了模型对每张图片所有标签都正确预测的概率。

标签	精确率	召回率
自定义 404 页面	80.20%	91.01%
登录页面	86.41%	88.47%
Web 应用	95.32%	96.83%
老旧网站	91.70%	62.20%
停靠域名	70.99%	66.43%

有关“精确率与召回率”的详细解释，请参阅 维基百科。

训练

要训练一个新的模型，运行以下命令：

eyeballer.py train

建议使用配备高性能 GPU 的机器，以便在合理的时间内完成训练。不过，如何配置 GPU 并不在本 README 的讨论范围内。

训练完成后，将生成一个新的模型文件（默认为 weights.h5）。

评估

你刚刚训练了一个新模型，太棒了！让我们看看它在多种指标下，对从未见过的图像的表现如何：

eyeballer.py --weights YOUR_WEIGHTS.h5 evaluate

输出结果将描述模型在每个标签上的召回率和精确率。（其中也包括“以上皆非”这一伪标签）

Eyeballer 快速上手指南

Eyeballer 是一款基于深度学习的 AI 工具，专为大规模网络渗透测试设计。它能自动分析网页截图，识别出具有攻击价值的目标（如老旧网站、登录页、Web 应用），并过滤掉无关内容（如自定义 404 页、域名停放页），帮助安全研究人员从海量主机中快速锁定潜在漏洞目标。

环境准备

• 操作系统：推荐 Linux (Ubuntu/CentOS) 或 macOS。Windows 用户建议使用 WSL2。
• Python 版本：Python 3.6+
• 硬件要求：
  • CPU 模式：普通 CPU 即可运行，适合小规模测试。
  • GPU 模式：如需处理大量截图或进行模型训练，强烈建议配备 NVIDIA GPU 并配置好 CUDA 环境（本指南不包含 GPU 驱动安装步骤）。
• 前置依赖：确保已安装 pip3。

安装步骤

1. 克隆项目代码

   git clone https://github.com/BishopFox/eyeballer.git
   cd eyeballer
   

2. 安装 Python 依赖

   • 标准安装（仅 CPU）：

     sudo pip3 install -r requirements.txt
     

   • GPU 加速安装（需自行确保证书和驱动已就绪）：

     sudo pip3 install -r requirements-gpu.txt
     

   提示：国内用户若下载缓慢，可添加清华源加速： pip3 install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple

3. 获取预训练模型权重 Eyeballer 依赖预训练权重文件才能工作。

   • 访问项目的 GitHub Releases 页面。
   • 下载最新的权重文件（例如 bishop-fox-pretrained-vN.h5）。
   • 将该文件放置在 eyeballer 项目根目录下。

基本使用

在使用前，请确保你的网页截图比例为 1.6:1（例如 1440x900 分辨率），以获得最佳识别效果。Eyeballer 会自动缩放图片，但错误的宽高比会影响预测精度。

1. 分析单张截图

对单个截图文件进行识别：

python3 eyeballer.py --weights bishop-fox-pretrained-vN.h5 predict YOUR_FILE.png

(请将 bishop-fox-pretrained-vN.h5 替换为你实际下载的权重文件名)

2. 批量分析目录

对包含大量截图的文件夹进行批量识别：

python3 eyeballer.py --weights bishop-fox-pretrained-vN.h5 predict PATH_TO/YOUR_FILES/

3. 查看结果

运行完成后，工具会在当前目录生成两份报告：

• results.html：人类可读的可视化报告，方便在浏览器中快速浏览分类结果。
• results.csv：机器可读的 CSV 格式数据，便于后续脚本处理或导入其他工具。

标签含义速查

• Old-Looking Sites：外观陈旧的网站（通常漏洞较多，价值高）。
• Login Pages：登录页面（暗示存在未授权的功能，适合进行凭证枚举）。
• Webapp：完整的 Web 应用程序（具备较大的攻击面）。
• Custom 404：自定义 404 页面（通常无实际功能，建议忽略）。
• Parked Domains：域名停放页（多为广告页，非真实目标，建议排除）。