文章总结： Hetty是一款9.4kStar的开源HTTP安全代理工具，旨在替代BurpSuitePro，具备MITM代理、请求拦截修改、HTTP重放、作用域管理和Web界面等核心功能。项目基于Go+TypeScript技术栈，支持Docker部署，但自2022年3月v0.7.0后已停止更新，存在兼容性和安全风险。文章评估其适用于学习基础HTTP代理、代码研究或受限环境，但缺乏Burp的Intruder爆破、漏洞扫描等高级功能，不建议用于严肃渗透测试。 综合评分： 72 文章分类： 安全工具,WEB安全,渗透测试,红队,代码审计

Hetty：9.4k Star 的 Burp Suite Pro 开源替代品，现在还能用吗？

原创

JunYi JunYi

毅心安全

2026年6月8日 16:13 广东

在小说阅读器读本章

去阅读

Hetty：9.4k Star 的 Burp Suite Pro 开源替代品，现在还能用吗？

作者：dstotijn | 项目地址：github.com/dstotijn/hetty | ⭐ 9.4k Stars

各位好，今天聊一个在安全社区里讨论度很高、但也存在一个不得不正视的关键问题的项目——Hetty。

先说结论：这是一个架构思路非常清晰、技术选型现代化的开源 HTTP 安全代理工具，曾经非常有潜力，但目前已经停止更新接近三年半。

9.4k Star 说明社区认可度很高，但最新 Release v0.7.0 停留在 2022 年 3 月——这是一个绕不开的事实，文章里我会帮你评估它现在还值不值得用，以及在哪些场景下用它是合适的。

它是什么？

一句话：专为安全研究和 Bug Bounty 设计的开源 HTTP 工具集，目标是成为 Burp Suite Pro 的开源替代品。

官方描述：

Hetty is an HTTP toolkit for security research. It aims to become an open source alternative to commercial software like Burp Suite Pro, with powerful features tailored to the needs of the infosec and bug bounty community.

技术栈是 Go（后端，53.4%）+ TypeScript/React（前端，45.4%），带完整官网（hetty.xyz），MIT 协议开源，有 Discord 社区。整体工程质量远超一般个人项目，有 code of conduct、contributing guide、golangci-lint 配置、完整的 goreleaser 发布流程，一看就是认真做过的。

对比图

核心功能详解

功能一：MITM 代理（Machine-in-the-Middle Proxy）

这是 Hetty 的核心，也是它和 Burp Suite Pro 最直接对标的功能。

启动后，Hetty 会自动生成根 CA 证书存储在 ~/.hetty/hetty_cert.pem，配置到浏览器即可开始拦截 HTTPS 流量。启动命令简洁：

hetty

或者带参数：

hetty --addr :8888 --verbose

支持 --chrome 参数，直接启动 Chrome 并自动应用代理设置和忽略证书错误，省去手动配置浏览器的步骤，这个细节很贴心。

代理日志界面支持高级搜索，可以通过关键字过滤特定的请求记录。这对于流量多的场景下定位目标请求非常有用，是 Burp HTTP History 的同类功能。

功能二：请求拦截与修改

可以设置拦截规则，对经过代理的请求和响应进行实时拦截，在浏览器收到响应之前手动审查、修改，然后决定放行还是取消。

这对应 Burp 的 Intercept 功能——抓包改包的核心能力，Hetty 完整实现了这一点。

功能三：HTTP 客户端（Repeater 等价物）

内置独立的 HTTP 客户端，你可以：手动构造 HTTP 请求并发送，或者将代理历史里的某个请求直接送入这里二次编辑和重放。

这对应 Burp Repeater 的核心用法。调试特定接口、测试参数边界、验证漏洞 PoC 时都会用到。

功能四：作用域管理（Scope）

这是一个被低估但非常重要的功能。可以定义测试范围（domain/URL 规则），让代理只记录和处理属于目标范围的流量，过滤掉广告、CDN、第三方 SDK 等干扰流量。

Burp 也有 Target > Scope 的概念，Hetty 的 Scope 机制和它是同类设计，有助于在复杂 Web 应用中保持工作清晰。

功能五：项目化数据库存储

Hetty 使用 BadgerDB（嵌入式 Go 数据库）存储测试数据，默认路径 ~/.hetty/hetty.db，支持多项目管理。不同目标的测试数据互不干扰，这和 Burp 的 Project File 概念一致。Docker 部署时可以挂载卷来持久化数据：

docker run -v $HOME/.hetty:/root/.hetty -p 8080:8080 \
  ghcr.io/dstotijn/hetty:latest

功能六：Web 管理界面

这是 Hetty 比 Burp Suite Pro 更有优势的地方。Hetty 是纯浏览器操作的 Web UI，启动后直接在浏览器访问 http://localhost:8080，无需安装桌面软件。这意味着：

可以跑在远程 VPS 上然后本地浏览器操作；可以在 Docker 容器里运行，通过端口映射管理；可以在没有 GUI 的 Linux 服务器上运行。这个特性是 Burp Suite Pro（Java 桌面程序）做不到的。

和 Burp Suite Pro 横向对比

共同点（核心能力对齐）

两者都有 MITM 代理、请求拦截修改、HTTP 重放、历史日志搜索、Scope 管理这五个渗透测试最核心的功能。对于只需要”抓包改包发包”的基础测试场景，Hetty 在功能上是够用的。

Hetty 独有优势

Web UI + Docker 部署是 Hetty 最鲜明的差异化优势，Burp 的 Java 桌面程序在这里完全不是对手。在 CI/CD 集成、云端测试环境、无桌面 Linux 服务器这些场景下，Hetty 天然适合，Burp 则需要各种折腾。

完全开源免费。Burp Suite Pro 目前价格约为 $449/年（约 3200 元/年），对个人安全研究员来说是不小的负担。Hetty 是 MIT 协议，零成本。

单二进制，安装极简。Go 编译的单文件可执行程序，macOS 用 brew 一条命令搞定，Linux 用 snap，Windows 用 scoop，没有 JVM 依赖，没有 3GB 起步的内存占用。

Burp Suite Pro 的明显优势

Intruder（请求爆破）：Burp 的核心武器之一，支持 Sniper/Battering Ram/Pitchfork/Cluster Bomb 四种攻击模式，配合 payload 字典做参数爆破、暴力破解、Fuzz 是日常必备。Hetty 目前完全没有这个功能。

主动 Scanner（漏洞扫描）：Burp Pro 的扫描引擎能自动检测 SQL 注入、XSS、XXE、SSRF、路径遍历、命令注入等百余种漏洞类型，有误报但覆盖广。Hetty 没有任何自动化漏洞检测能力。

Collaborator（OOB 协作服务器）：Burp 的带外交互测试基础设施，用于验证无回显的盲注、SSRF、XXE、反序列化等漏洞。这是专业级渗透测试的刚需工具。Hetty 没有等价功能（不过可以配合外部 DNSLog 服务补全）。

BApp Store（扩展插件生态）：数百个社区和官方插件，JWT Editor、ActiveScan++、Param Miner、Turbo Intruder、Autorize……每个插件都解决一类真实渗透场景。这个生态是 Burp 的护城河，Hetty 目前没有插件系统。

GraphQL API（Hetty 的架构亮点，但也是现阶段局限）：Hetty 后端用 gqlgen 实现了完整的 GraphQL API，前端通过它与后端交互。这个设计本来为未来的扩展性铺了路，但停止开发后这个潜力就只是潜力了。

最关键的问题：停更了，还能用吗？

v0.7.0，2022 年 3 月 29 日。这是 Hetty 的最后一个 Release，距今已超过 3 年。

README 里写着 “👷 Hetty is under active development”——这句话已经失效很久了。

这意味着什么？

TLS 指纹和现代浏览器的兼容性可能存在问题（TLS 生态变化很快）；已知 Bug（目前 GitHub Issues 有 17 个开放问题）不会被修复；不支持 HTTP/2（现代 Web 应用大量使用）；安全工具本身如果有安全漏洞，也不会得到修补；GraphQL API 设计过时，无法对接新版 Next.js 生态。

但是，对于以下场景，它仍然是合理选择：

学习 HTTP 代理工作原理的初学者，想看懂一个完整、现代化 Go+TypeScript 项目的代码实现，在受控环境里做基础的 HTTP 请求拦截和重放，在服务端/Docker 环境中需要 Web UI 代理而不想用桌面程序的场景。

快速上手

三种安装方式，任选其一：

# macOS
brew install hettysoft/tap/hetty

# Linux
sudo snap install hetty

# Windows
scoop bucket add hettysoft https://github.com/hettysoft/scoop-bucket.git
scoop install hettysoft/hetty

启动后打开 http://localhost:8080 就能看到 Web 界面。证书文件自动生成在 ~/.hetty/，导入浏览器后即可开始拦截 HTTPS。

# 所有参数
hetty --cert ~/.hetty/hetty_cert.pem \
      --key  ~/.hetty/hetty_key.pem  \
      --db   ~/.hetty/hetty.db       \
      --addr :8080                   \
      --chrome                       \
      --verbose

同类开源替代品横向扫描

既然提到开源 Burp 替代品，那就顺带说几个同类项目：

mitmproxy（Python）：最成熟的开源 MITM 代理，命令行为主，有 Web UI（mitmweb），有 Python 脚本扩展能力，活跃维护，大量测试场景下的首选。

Caido：近年最被关注的商业化 Burp 替代品，Rust 编写，UI 极其现代，有免费版和付费版之分，目前功能完整度在所有替代品里最高，但不是完全开源。

ZAP（OWASP Zaproxy）：OWASP 官方出品的全功能安全测试工具，有主动扫描、爬虫、Fuzzer、API 测试，Java 写的，免费开源，在企业安全测试中有真实用例，但 UI 体验比 Burp 差不少。

Hetty 的定位本来最接近 Caido 的路线——现代化、轻量、开发者友好——可惜停更让这个潜力没有兑现。

综合评价

如果你是一个安全入门学习者，想用免费工具做基础的 HTTP 拦截和重放，Hetty 值得装来体验——界面干净，配置简单，代码质量高，是非常好的学习材料。

如果你是做严肃渗透测试的专业人士，Burp Suite Pro 在功能完整度上目前没有可以平替的开源工具，Hetty 的功能集只覆盖了渗透工作流的基础部分。

如果你需要一个停更前的代码库来学习 “如何用 Go + TypeScript + GraphQL 构建安全工具”，Hetty 是同类项目里工程质量最高的参考实现之一，架构清晰、代码规范、值得深读。

未来如果作者或社区重启开发，Hetty 有非常好的基础。 希望它不要就此沉寂。

⚠️ 本文所有工具仅供安全研究与授权测试使用，所有渗透测试行为必须在获得明确书面授权的范围内进行。未经授权的测试行为违法。

觉得有价值点个在看，下期继续聊开源安全工具链。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：毅心安全 JunYi JunYi《Hetty：9.4k Star 的 Burp Suite Pro 开源替代品，现在还能用吗？》