GraphQL Offensive Framework Powered by Adaptive Symbolic AI
Q•Lexagon Offensive Suite es una herramienta avanzada de pentesting ofensivo para APIs GraphQL. Diseñada para entornos cerrados (sin introspección), automatiza el análisis, la generación de ataques y la priorización de campos vulnerables utilizando inteligencia simbólica adaptativa.
💡 Impulsado por Q•Guard, su núcleo IA simbólico, aprende del comportamiento de la API y sugiere nuevos vectores de ataque en cada iteración.
| Módulo | Descripción |
|---|---|
| 🔍 Análisis simbólico | Construcción de árboles de mutaciones y campos desde introspección o tráfico real |
| 💉 Fuzzing dirigido por IA | Generación de mutaciones adaptativas basadas en historial de vulnerabilidades |
| 🧠 Memoria ofensiva | Registro de respuestas, severidad y relaciones simbólicas |
| 🔁 Ciclo de aprendizaje | Reutiliza cada ataque fallido para mejorar las sugerencias futuras |
| 🛠 Interfaz CLI profesional | Control total sobre análisis, ejecución, resultados y memoria IA |
| 📡 Captura pasiva con mitmproxy | Compatible con tráfico real para analizar APIs sin acceso directo al esquema |
Q-Hexagon/
├── config/ # Cabeceras, certificados y opciones globales
├── core/ # Funciones base y árboles simbólicos
├── data/ # Resultados, memoria y árboles generados
├── inject/ # Motores de fuzzing manual y automático
├── payloads/ # Inyecciones básicas y profundas
├── q_guard/ # Inteligencia simbólica (análisis, memoria, sugerencias)
├── report/ # Reportes exportables (próximamente)
├── interface.py # CLI principal para interacción humana
└── main.py # Ejecutor de fuzzing real
=======
Q•Lexagon es una herramienta automatizada para escaneo de seguridad en APIs GraphQL. Detecta endpoints vulnerables, analiza respuestas en busca de errores explotables, y genera un informe con los hallazgos más relevantes.
- 🔍 Detección de introspección activa
- 🧬 Generación automática de queries
- 💉 Inyección de payloads básicos y avanzados
- 🧠 Análisis de respuestas con patrones de errores críticos
- 📄 Generación de reportes JSON listos para análisis
- 🛡️ Soporte para headers personalizados, tokens y cookies
- 🔒 Compatible con certificados
.pempara HTTPS
git clone https://your-repo.com/q-hexagon-suite
cd q-hexagon-suite
python -m venv venv
source venv/bin/activate # o .\venv\Scripts\activate en Windows
pip install -r requirements.txtpython interface.pyOpciones disponibles:
- Ataque IA completo (análisis + mutaciones + ejecución)
- Fuzzing manual o automático
- Modificación directa de mutaciones
- Visualización de memoria simbólica y resultados
python brain.py
python main.py --url https://target.com/graphql --mode manual --no-introspection --mutations-file data/mutations_ia_memory.json --deep-fuzz- Aprende simbólicamente de respuestas
- Clasifica severidad y patrones de error
- Sugiere nuevas rutas basadas en historia crítica
- Construye
memory.jsonymemory_suggestions.json
Q•Lexagon puede trabajar sin introspección gracias a:
mitmproxypara captura de tráficomutation_generator_memory.pypara clonar y extender mutaciones reales- Árboles simbólicos que detectan estructura desde el uso
- Herramienta ofensiva lista para CI/CD y equipos Red Team
- Compatible con pipelines de auditoría
- Personalizable por módulos y adaptable a cada cliente
Para licencias comerciales, contacta: security@q-hexagon.io
- Panel web Flask/React para análisis visual
- Módulo de reporte automático (PDF, JSON)
- Integración con OpenAI embeddings simbólicos
- Entrenamiento offline sobre APIs personalizadas
- Clona el repositorio:
git clone https://github.com/tuusuario/qgraphguard.git
cd qgraphguard