Vigolium proporciona dos modos de escaneo complementarios:
-
Escaneo nativo (
vigolium scan): Rápido, potente y flexible. Análisis determinístico y multifásico con más de 250 módulos en el descubrimiento de contenido, arañas de navegador/SPA y auditoría activa/pasiva, que abarca las clases de inyección, control de acceso, archivo/ruta, API/protocolo, específico del marco, nube/infra y fuera de banda (OAST). -
Escaneo Agénico (
vigolium agent): Audita a fondo su base de código. El escaneo impulsado por IA que planifica de forma autónoma ataca, selecciona módulos, genera extensiones personalizadas y trata los resultados, combinando una auditoría de código fuente profundo con un escaneo de vulnerabilidades autónomo y específico.
curl -fsSL https://vigolium.com/install.sh | bash
npm install -g @vigolium/vigolium
docker pull j3ssie/vigolium:latest
docker run --rm j3ssie/vigolium:latest scan -h
git clone https://github.com/vigolium/vigolium.git
cd vigolium
make build # build and install to $GOPATH/bin
Requiere Go 1.26+ y bun 1.3.11+. Consulte HACKING.md para obtener requisitos previos y detalles de construcción.
# Scan a single target (default: balanced strategy)
vigolium scan -t https://example.com
# Scan with a strategy preset
vigolium scan -t https://example.com --strategy deep
# Scan specific modules only
vigolium scan -t https://example.com -m xss-reflected,sqli-error
# Scan from an OpenAPI spec
vigolium scan -T openapi.yaml -I openapi
# Pipe URLs from stdin
cat urls.txt | vigolium scan
# Run a single phase directly
vigolium run discovery -t https://example.com
# Generate an HTML report
vigolium scan -t https://example.com --only discovery --format html -o report.html
Consulte docs.vigolium.com/architecture/overview para obtener una visión general completa y docs.vigolium.com/native-scan/strategies para conocer las estrategias, los perfiles y la configuración del ritmo.
# Start API server with authentication
vigolium server -k my-secret-key
# Enable transparent HTTP proxy for traffic recording
vigolium server -k my-key --ingest-proxy-port 9003
# Auto-scan ingested traffic
vigolium server -k my-key --scan-on-receive
# Ingest traffic to a running server
cat urls.txt | vigolium ingest -s http://localhost:9002
# Ingest an OpenAPI spec
vigolium ingest -s http://localhost:9002 -i api.yaml -I openapi
Consulte docs.vigolium.com/server-mode/running-the-server para la configuración del servidor, docs.vigolium.com/server-mode/ingestion para los flujos de trabajo de ingestión, y docs.vigolium.com/api-overview para la referencia completa de la API REST.
Integración de Burp Suite : reenvíe el tráfico de Burp Suite en directo a un servidor Vigolium que ejecuta con la extensión burp-vigolium.
Vigolium admite el escaneo autenticado de varias sesiones para pruebas IDOR/BOLA y comprobaciones de escalado de privilegios:
# Inline session via CLI flag (name:Header:value)
vigolium scan -t https://example.com \
--auth "admin:Cookie:session_id=abc123" \
--auth "user:Cookie:session_id=xyz789"
# Load session(s) from a YAML/JSON file
vigolium scan -t https://example.com --auth-file ./admin-session.yaml
# Auth file with an automated login flow (token extraction, etc.)
vigolium scan -t https://example.com --auth-file ./login-flow.yaml
# Add custom headers (works with sessions)
vigolium scan -t https://example.com -H "Authorization: Bearer token123"
Los archivos Auth admiten encabezados estáticos, tokens portadores y flujos de inicio de sesión automatizados con extracción de tokens de cookies, respuestas JSON o encabezados. Los ejemplos predefinidos están disponibles en public/presets/sessions/. Consulte docs.vigolium.com/native-scan/authentication para la guía completa.
El
--auth/--auth-fileLas banderas fueron nombradas anteriormente--session/--session-file. Los nombres antiguos todavía funcionan como alias desaprobados.
Análisis impulsado por IA donde los agentes planifican, ejecutan y clasifican de forma autónoma las evaluaciones de vulnerabilidad con el motor de escaneo nativo debajo:
# Autopilot: autonomous AI-driven scanning (in-process olium engine)
vigolium agent autopilot -t https://example.com
vigolium agent autopilot -t https://example.com --source ./src --focus "auth bypass"
vigolium agent autopilot -t https://example.com --diff main...feature/auth # diff-focused
vigolium agent autopilot -t https://example.com --intensity deep # preset bundle
# Swarm: AI-guided targeted or full-scope vulnerability scanning
vigolium agent swarm -t https://example.com/api/users --vuln-type sqli
vigolium agent swarm -t https://example.com --discover # full-scope
vigolium agent swarm -t https://example.com --source ./src --discover # source-aware full-scope
vigolium agent swarm --input "curl -X POST https://example.com/api/login -d '{\"user\":\"admin\"}'"
# Source-audit drivers (separate harness, do not route through olium)
vigolium agent audit --source ./src --mode deep # claude harness only (anthropic-*)
vigolium agent audit --driver=piolium --source ./src --mode balanced # Pi-native (pi extension)
vigolium agent audit --source ./src --mode balanced # both audit + piolium back-to-back
vigolium agent audit --source ./src --driver piolium --fallback # piolium with audit fallback
# Direct olium access (TUI or headless)
vigolium ol # launch the olium TUI
vigolium ol --prompt "..." # one-shot prompt (-p implies headless)
Modos de escaneo agrético:
- Autopilot : escaneo autónomo. Llamadas CLI
pkg/olium/autopilot.Rundirectamente; el servidor agrega la preparación de vigolium-audit, la configuración de autenticación y un paquete de contexto congelado en el mismo bucle - SwarmSwarm: análisis de vulnerabilidades guiados por IA que admiten solicitud única dirigida y alcance completo (
--discover). El agente maestro analiza entradas, selecciona módulos, genera extensiones JS personalizadas, ejecuta auditoría de código y SAST, ejecuta escaneos y triagina resultados - Auditoría : auditoría de código fuente a través de
vigolium agent audit— un despachador unificado que ejecuta los arneses integrados de vigolium-audit (claude/códice) y/o piolio (Pi-nativo), seleccionado con--driver {auto|both|audit|piolium}. Arneses separados; no se enrute a través del olio. Las filas de niños por conductor bajo un padre AgenticScan con los hallazgos posteriores al pase se desaprueban. No hay un independienteagent pioliumSubcomando — piolium corre a través de--driver=piolium
💻 GitHub Link Del Repo: https://github.com/vigolium/vigolium
💻 GitHub:
https://github.com/HackingTeamOficial📲 Telegram:
https://t.me/PlantillasNucleiHackingTeam
https://t.me/HackingTeamGrupoOfficial
https://t.me/+0hHSaKO7eI9mNWY8 (Difusión)
https://t.me/+llcmNGzz6JIyMmI0 (Biblioteca)
https://t.me/TermuxHackingTeam🐦 X (Twitter):
@HackingTeam77🦋 Bluesky:
https://bsky.app/profile/hackingteam.bsky.social💬 Discord:
https://discord.gg/V4nPFbQX📘 Facebook:
https://www.facebook.com/groups/hackingteam2022/?ref=sharehttps://www.facebook.com/groups/HackingTeamCyber/?ref=share
🎥 YouTube:
https://www.youtube.com/@HackingTeamOficial/videos
