jashwanth0726/web-vulnerability-scanner
GitHub: jashwanth0726/web-vulnerability-scanner
一个基于 Python 和 Tkinter 的图形化 Web 漏洞扫描器,覆盖 OWASP Top 10 常见风险并自动生成 PDF 报告。
Stars: 0 | Forks: 0
# ⚡ 高级漏洞扫描器 (OWASP Top 10)
一个基于 Python 的 GUI Web 应用程序漏洞扫描器,用于测试 **OWASP Top 10** 安全风险。..
## 📸 功能特性
- ✅ 扫描所有 **OWASP Top 10** 漏洞
- ✅ 使用 Random Forest 的 **机器学习驱动 Payload 分类**
- ✅ 每次扫描后自动生成详细的 **PDF 报告**
- ✅ 直接从应用程序**发送电子邮件报告**
- ✅ 支持自定义 Payload(`.txt` 或 `.json` 文件)
- ✅ 带有时间戳日志的实时控制台输出
- ✅ 随时随地中途停止扫描
- ✅ 使用 Tkinter 构建的整洁的深色主题 GUI
## 🔍 漏洞检查
| # | OWASP 类别 | 检查内容 |
|---|---------------|----------------|
| A1 | Injection | SQL Injection, Command Injection |
| A3 | Sensitive Data Exposure | 响应中的 AWS 密钥、JWT、私钥 |
| A4 | XML External Entities (XXE) | XML 端点中的 XXE Payload |
| A5 | Security Misconfiguration | 缺失的 Header、目录列表、暴露的目录 |
| A7 | Cross-Site Scripting (XSS) | 通过 URL 参数和表单实现的反射型 XSS |
| A8 | Insecure Deserialization | 响应中的序列化对象标记 |
| A9 | Using Vulnerable Components | Server Banner 指纹识别 + CVE 映射 |
| A10 | Insufficient Logging | 无效路由上的堆栈跟踪和 500 错误 |
| — | SSRF | Server-Side Request Forgery 探测 |
| — | File Upload | 检测多部分上传端点 |
## 🚀 安装说明
### 1. 克隆仓库
```
git clone https://github.com/YOUR_USERNAME/vuln-scanner.git
cd vuln-scanner
```
### 2. 创建虚拟环境 (推荐)
```
python -m venv venv
# Windows
venv\Scripts\activate
# macOS/Linux
source venv/bin/activate
```
### 3. 安装依赖
```
pip install -r requirements.txt
```
### 4. 运行应用
```
python scanner.py
```
## 📁 项目结构
```
vuln-scanner/
│
├── scanner.py # Main application file
├── requirements.txt # Python dependencies
├── .gitignore # Files to exclude from Git
├── README.md # Project documentation
│
├── payloads/ # Auto-generated payload files
│ ├── xss.txt
│ ├── sqli.txt
│ ├── cmd.txt
│ ├── lfi.txt
│ ├── xxe.txt
│ └── ssrf.txt
│
└── reports/ # Auto-generated PDF reports saved here
```
## 📧 电子邮件设置 (可选)
要通过电子邮件接收扫描报告,请在开始扫描之前在应用程序中输入收件人的电子邮件地址。扫描完成后,报告将自动通过电子邮件发送。
## 🧠 机器学习模型工作原理
- 在启动时,应用程序会在内置 Payload 上训练一个 **Random Forest Classifier**。
- 使用 `CountVectorizer` + 分类器管道对每个 Payload 进行分类(XSS、SQLI、CMD 等)。
- 当测试某个 Payload 时,它会被分类,并且其类型会显示在控制台日志中。
标签:Apex, C2日志可视化, CISA项目, CVE映射, DAST, GUI应用, IP 地址批量处理, ML Payload分类, OWASP Top 10, PDF报告生成, Python安全工具, SQL注入检测, SSRF检测, Tkinter, Web安全, XSS检测, XXE攻击, XXE漏洞, 不安全反序列化, 加密, 反取证, 命令注入, 安全扫描, 安全评估, 恶意软件分析, 指纹识别, 文件上传漏洞, 时序注入, 机器学习, 漏洞扫描器, 组件漏洞扫描, 网络安全, 自动化报告, 蓝队分析, 逆向工具, 邮件发送, 随机森林, 隐私保护, 黑盒测试