기능
하는 일
엔드포인트 추출
정적 분석으로 소스에서 엔드포인트, 파라미터, 헤더, 쿠키를 끌어냅니다. Shadow API, 사장된 라우트, 문서화되지 않은 핸들러도 같은 패스에서 함께 나옵니다. 별도의 모드가 아닙니다.
다중 언어
Crystal, Ruby, Python, Go, Java, Kotlin, JS/TS, PHP, C# 등 50개 이상의 프레임워크를 단일 바이너리로 지원합니다. 플러그인이나 언어별 설정은 필요 없습니다.
LLM 폴백
네이티브로 지원하지 않는 프레임워크는 LLM(OpenAI, Ollama 등)에 위임합니다. 코드베이스를 가리키면 모델이 빈 자리를 채웁니다.
CI/CD 친화
GitHub Action, SARIF 출력, exit code. 이미 쓰고 있는 파이프라인에 그대로 끼워 넣습니다.
사람, AI, DAST 모두를 위한
같은 엔드포인트 인벤토리가 셋 모두에게 필요한 입력입니다. 사람 리뷰어와 LLM 기반 코드 감사자는 저장소 전체 대신 공격자 도달 가능한 진입점 목록에 집중할 수 있고, DAST 스캐너(ZAP, Burp, Caido)는 크롤링으로는 닿지 못했을 라우트까지 받아 갑니다.
유연한 출력
JSONJSONLYAMLTOMLOAS2OAS3SARIFHTMLMarkdowncURLHTTPiePowerShellPostmanMermaidOnly-URLOnly-ParamOnly-HeaderOnly-CookieOnly-Tag
워크플로
실행 방식
코드베이스를 지정
Noir가 언어, 프레임워크, 라우팅 패턴을 알아서 감지합니다. 작성할 설정은 없습니다.
엔드포인트 추출
정적 분석기가 라우트, 파라미터, 헤더를 끌어냅니다. 정적 규칙으로 커버하지 못하는 프레임워크는 LLM 폴백이 처리합니다.
사람, AI, DAST에 전달
사람 리뷰어를 위해 JSON, OpenAPI, SARIF로 내보내거나, ZAP·Burp·Caido에 프록시 타깃으로 그대로 흘려보내거나, LLM 기반 코드 감사자에게 집중된 진입점 컨텍스트로 넘기면 됩니다.
Built With
Open Source
커뮤니티에 참여하세요
OWASP Noir는 커뮤니티가 만듭니다. 기여하고, 이슈를 보고하고, 스타를 눌러주세요.
Thanks to our contributors
