[](https://www.python.org/downloads/) [](LICENSE) [](https://github.com/MykeChidi/vulnradar/issues) [](https://github.com/PyCQA/bandit) 一款全面的异步 Web 漏洞扫描器，旨在识别 Web 应用程序中的常见安全缺陷。VulnRadar 结合了智能 Web 爬虫、高级侦察和有针对性的漏洞测试，以及详细的报告功能。 ## 快速开始 ``` # 安装依赖 pip install -r requirements.txt # 基本扫描 python -m vulnradar https://example.com # 使用 GUI 运行 python -m vulnradar --gui ``` ## 功能 ### 🔍 侦察与发现 - **DNS 枚举** - A、MX、NS、TXT 记录查询 - **端口扫描** - 可配置的端口范围及服务检测 - **WAF 检测** - 识别 Web 应用防火墙 - **技术栈检测** - 检测框架、服务器和库 - **高级侦察模块**： - 网络基础设施分析 - 安全基础设施分析 - Web 应用程序分析 - 基础设施关系映射 - 其他分析 ### 🕷️ Web 爬虫 - 智能爬虫，支持可配置的深度 - 通过 Selenium 支持 JavaScript 渲染 - 端点发现和 URL 映射 - 可配置的页面限制 - Cookie 和自定义 Header 支持 ### 🛡️ 漏洞检测 - **SQL 注入 (SQLi)** - 数据库注入检测 - **跨站脚本攻击 (XSS)** - 反射型和基于 DOM 的 XSS - **跨站请求伪造 (CSRF)** - CSRF 令牌检测 - **服务端请求伪造 (SSRF)** - SSRF 漏洞检测 - **路径遍历** - 目录遍历和基于路径的攻击 - **文件包含** - LFI 和 RFI 检测 - **命令注入** - 操作系统命令注入检测 ### 📊 报告 - **HTML 报告** - 交互式、详细的发现结果 - **PDF 报告** - 专业的可打印格式 - **JSON 导出** - 机器可读格式，用于自动化 - **Excel 报告** - 包含漏洞详情的电子表格 - **SQLite 数据库** - 扫描结果的持久化存储 ### ⚙️ 性能与配置 - 异步扫描以提高速度 - 可配置的并发（工作线程） - 请求超时控制 - 用于结果优化的缓存系统 - 数据库存储选项 ### 🎯 多目标扫描 - 从单个 YAML 配置文件扫描多个目标 - 每个目标的配置（超时、重试、扫描选项） - 并发或顺序扫描模式 - 所有目标的聚合报告 - 单个目标结果文件 ### 🖥️ 用户界面 - **命令行界面 (CLI)** - 完整的自动化支持 - **图形用户界面 (GUI)** - 基于 Tkinter 的 GUI ## 安装 ### 系统要求 - Python 3.10+ - pip 包管理器 - Git（可选，用于克隆仓库） ### 快速安装 ``` # 克隆仓库 git clone https://github.com/MykeChidi/vulnradar.git cd vulnradar # 创建虚拟环境 python -m venv venv source venv/bin/activate # On Windows: venv\Scripts\activate # 安装依赖 pip install -r requirements.txt # 验证安装 python -m vulnradar --help ``` 有关详细的设置说明，请参阅 [安装指南](docs/INSTALLATION.md)。 ## 基本用法 ### 简单扫描 ``` python -m vulnradar https://example.com ``` ### 使用自定义选项 ``` python -m vulnradar https://example.com \ --crawl-depth 4 \ --max-workers 8 \ --timeout 20 \ --output-dir ./results ``` ### 仅侦察 ``` python -m vulnradar https://example.com --recon-only --recon-all ``` ### 认证扫描 ``` python -m vulnradar https://app.example.com \ --cookies "session=abc123;auth=xyz789" ``` ### 多目标扫描 ``` # 生成配置模板 python -m vulnradar --show-multi-config # 从 YAML 配置扫描多个目标 python -m vulnradar --targets-file multi_target_config.yaml ``` ### 数据库存储 ``` python -m vulnradar https://example.com \ --use-db \ --db-path ./scans.db ``` ## 文档 适用于所有用例的完整文档： ### **新用户** - **📋 [安装指南](docs/INSTALLATION.md)** - 详细的设置说明 - **🚀 [入门指南](docs/GETTING_STARTED.md)** - 第一次扫描演练 - **📖 [使用指南](docs/USAGE.md)** - 完整的 CLI 参考 - **⚙️ [配置](docs/CONFIGURATION.md)** - 配置选项参考 - **🎯 [多目标扫描](docs/MULTI_TARGET.md)** - 多目标配置和用法 ### **故障排除** - **❓ [故障排除](docs/TROUBLESHOOTING.md)** - 常见问题和解决方案 ### **安全** - **🔒 [安全指南](docs/SECURITY.md)** - 法律和安全注意事项 ## 系统要求 | 组件 | 要求 | |-----------|------------| | Python | 3.10 或更高版本 | | 操作系统 | Windows, macOS, Linux | | 内存 | 最低 512 MB，推荐 2+ GB | | 磁盘 | 安装需 300 MB | | 网络 | 活跃的互联网连接 | ### 可选依赖项 - **Selenium** - 用于 JavaScript 渲染（较慢但更全面） - **Nmap** - 用于高级端口扫描（需要单独安装） ## 主要选项 | 选项 | 用途 | 默认值 | |--------|---------|---------| | `--crawl-depth` | 爬取网站的深度 | 3 | | `--max-workers` | 并发请求数 | 5 | | `--timeout` | 请求超时（秒） | 10 | | `--use-selenium` | 启用 JavaScript 渲染 | 禁用 | | `--port-scan` | 执行端口扫描 | 禁用 | | `--use-db` | 将结果存储在数据库中 | 禁用 | | `--cache-dir` | 缓存目录路径 | vulnradar_cache | ## 许可证 本项目在 **GNU Affero General Public License v3.0** 下获得许可 - 有关详细信息，请参阅 [LICENSE](LICENSE) 文件。 ### 主要许可条款 - ✅ 可免费使用、修改和分发 - ⚠️ 必须包含许可声明 - ⚠️ 源代码修改必须共享 - ⚠️ 网络使用被视为分发（AGPL 特有） - ⚠️ 不提供任何保证 ## 支持与问题 - **文档**: 请参阅 [docs/](docs/) 目录 - **错误报告**: [GitHub Issues](https://github.com/MykeChidi/vulnradar/issues) - **问题**: 创建讨论或检查现有问题 ## 安全与法律 ⚠️ **重要**: VulnRadar 仅用于授权的安全测试。未经授权访问计算机系统是非法的。在扫描任何网站或应用程序之前，请确保您拥有明确的书面许可。 有关详细的安全信息，请参阅 [安全指南](docs/SECURITY.md)。 ## 免责声明 本工具按“原样”提供，用于教育和授权的安全测试目的。用户有责任确保在使用本工具之前已获得适当的授权。开发人员不对因滥用或使用本工具造成的任何损害承担责任。 **VulnRadar** - 让 Web 应用程序安全测试变得触手可及且自动化。 - *版权所有 (c) 2026 MykeChidi.*

标签：AGPLv3, BeEF, CISA项目, CSRF, DInvoke, DNS枚举, DOE合作, GitHub, GUI, Metasploit替代, Python, Selenium, SSRF, URL发现, Web安全, Web爬取, XSS, 主机安全, 云原生安全, 加密, 安全检测, 密码管理, 开源安全工具, 异步编程, 技术栈识别, 插件系统, 数据统计, 无后门, 服务器端请求伪造, 漏洞情报, 漏洞扫描器, 爬虫, 端口扫描, 网络安全, 网络安全审计, 网络安全工具, 自动化分析, 蓝队分析, 跨站脚本, 逆向工具, 逆向工程平台, 隐私保护