Desoace/Web-Application-Vulnerability-Scanner

GitHub: Desoace/Web-Application-Vulnerability-Scanner

一款基于 Python 的 Web 漏洞自动化扫描器,通过爬取站点、注入测试 payload 来检测 SQL 注入和 XSS 漏洞。

Stars: 0 | Forks: 0

Web 应用程序漏洞扫描器是一款全面的安全测试工具,旨在识别常见的 Web 漏洞,特别专注于 SQL 注入和跨站脚本 (XSS) 攻击。该扫描器使用 Python 开发,利用 `requests` 库进行 HTTP 通信,并使用 BeautifulSoup 进行 HTML 解析,实现了 Web 应用程序安全缺陷发现和测试过程的自动化。该工具首先会爬取目标网站以发现页面和表单,从而构建应用程序攻击面的映射图。它能够智能地提取可能被利用的表单字段、URL 参数和输入向量。在进行 SQL 注入测试时,扫描器采用了各种旨在触发数据库错误或绕过身份验证的 payload,包括单引号、OR 语句和注释序列等经典 payload。该工具会监控响应,以发现来自各种系统(包括 MySQL、PostgreSQL、Oracle 和 SQL Server)的数据库错误消息。XSS 检测的工作原理是注入 JavaScript payload,并检查它们是否在未经适当过滤(sanitization)的情况下被反射到响应中。扫描器会测试多种 XSS 向量,包括 script 标签、事件处理程序和经过编码的 payload,以绕过基本过滤器。URL 参数则通过带有被篡改查询字符串的 GET 请求进行单独测试。该工具实现了智能限流,以避免使目标服务器过载,并包含用于测试认证区域的会话管理功能。扫描结果会被全面记录,详细说明存在漏洞的 endpoint、成功的 payload 以及漏洞证据。扫描器既会生成用于实时监控的控制台输出,也会生成用于文档记录和进一步分析的 JSON 报告。其安全特性包括可配置的扫描深度、请求延迟以及排除特定路径的能力。模块化设计允许轻松扩展新的漏洞检查和 payload 类型。该工具是安全评估工作流程中的重要组成部分,可帮助开发人员和安全专业人员在恶意攻击者利用漏洞之前识别出它们。 #OUTPUT Image
标签:CISA项目, DOE合作, Python, Splunk, SQL注入检测, Web安全, XSS检测, 内存取证对抗, 加密, 无后门, 漏洞扫描器, 自动化爬虫, 蓝队分析, 逆向工具