Priyanjan17/Web_Vulnerability_Scanner-without-using-Tools-

# 🛡️ Web 漏洞扫描器 ### *（不使用外部工具）* 一个使用 Python 从零构建的轻量级**自定义 Web 漏洞扫描器**。 本项目展示了如何在**不依赖 Burp Suite 或 OWASP ZAP 等外部安全工具**的情况下检测常见的 Web 漏洞。 该扫描器执行**爬取、被动分析、主动测试和报告生成**。 # 📌 功能 ✔ 智能网站爬虫 ✔ 被动安全分析 ✔ 主动漏洞测试 ✔ Payload 注入引擎 ✔ 自动漏洞报告 ✔ 模块化架构 ✔ 异步扫描，更快性能 ✔ 数据库扫描历史 # 🔍 检测的漏洞 该扫描器可以检测多种 Web 漏洞，例如： * SQL 注入 * 跨站脚本（XSS） * 本地文件包含（LFI） * 服务端模板注入（SSTI） * 开放重定向 * 安全配置错误 * 缺失的安全头部 高级版本还可支持： * 命令注入 * SSRF * XXE * 原型污染 * CRLF 注入 * IDOR # 🏗️ 项目架构 ``` User Input │ ▼ Target URL │ ▼ Web Crawler │ ▼ Passive Scanner (headers, cookies, server info) │ ▼ Active Scanner (SQLi, XSS, LFI, SSTI tests) │ ▼ Payload Engine │ ▼ Result Analysis │ ▼ Database Storage │ ▼ Report Generator ``` # ⚙️ 使用的技术 **编程语言** Python **框架** FastAPI **库** * HTTPX * BeautifulSoup * SQLAlchemy * Jinja2 * Asyncio **服务器** Uvicorn # 💻 硬件要求 最低配置： * 处理器：Intel i3 或同等规格 * 内存：4GB * 存储：1GB 可用空间 * 网络连接 推荐配置： * 处理器：Intel i5 * 内存：8GB * SSD 存储 # 🖥️ 软件要求 * Python 3.10+ * FastAPI * HTTPX * BeautifulSoup * SQLAlchemy * Jinja2 * Uvicorn # 📂 项目结构 ``` project-root │ ├── core │ ├── crawler.py │ ├── scanner.py │ ├── payloads.py │ ├── utils.py │ ├── report.py | ├── models.py │ └── db │ └── database.py │ ├── modules │ ├── active │ │ ├── sql_injection.py │ │ ├── xss_test.py │ │ ├── lfi_test.py │ │ ├── ssti_test.py │ │ ├── crlf_injection.py │ │ ├── dir_traversal.py │ │ ├── idor_test.py │ │ ├── xxe_test.py │ │ ├── prototype_pollution.py │ │ ├── ssrf_scanner.py │ │ ├── ssti_test.py │ │ ├── command_injection.py │ │ └── open_redirect.py │ │ │ └── passive │ ├── headers_analysis.py │ ├── cookie_security.py │ ├── robots_enum.py │ ├── cors_misconfig.py │ ├── dir_listing.py │ ├── info_disclosure.py │ ├── mixed_content.py │ ├── security_headers_extended.py │ ├── sensitive_files.py │ ├── server_info.py │ └── tech_fingerprint.py │ ├── templates │ └── report_template.html │ ├── reports ├── main.py ├── requirements.txt └── README.md ``` # 🚀 安装 克隆仓库 ``` git clone https://github.com/yourusername/web-vulnerability-scanner.git cd web-vulnerability-scanner ``` 创建虚拟环境 ``` python -m venv venv ``` 激活环境 Windows ``` venv\Scripts\activate ``` Linux / Mac ``` source venv/bin/activate ``` 安装依赖 ``` pip install -r requirements.txt ``` # 1 ▶️ 运行扫描器 启动后端服务器 ``` uvicorn main:app --reload --port 8000 or (if the port 8000 doesn't works try it with 9000) uvicorn main:app --reload --port 9000 ``` 检查后端服务器是否运行... ``` http://127.0.0.1:8000 or (if the server runs on cmd, check as per the particular port which we give) http://127.0.0.1:9000 ``` # 2 启动前端服务器 ``` cd ui ``` 在 UI 目录中创建虚拟环境 Windows ``` python -m venv venv ``` 激活虚拟环境 Windows ``` venv\Scripts\activate ``` Linux / Mac ``` source venv/bin/activate ``` 启动服务器以配合后端工作 ``` python -m http.server 5500 ``` 现在检查 API 是否启动以验证服务器正在运行... ``` http://127.0.0.1:5500/ ``` 如果两个服务器都已启动，那么项目应该可以正常运行，但需要注意命令提示符 # 测试用例的 URL： 可以使用以下任意 URL：（如果第一个 URL 无法运行，则使用其他 URL 以及一些显示错误结果的场景，如果网站未找到） ``` 1) http://www.itsecgames.com/ 2) https://testphp.vulnweb.com/ 3) Owasp Juice Shop ``` # 🔎 示例扫描 使用浏览器或 API 发送请求 ``` POST /scan ``` 示例 ``` http://localhost:8000/scan?url=https://example.com ``` 扫描器将： 1. 爬取网站 2. 运行被动分析 3. 注入 Payload 4. 检测漏洞 5. 生成报告 # 📊 示例输出 ``` Target: example.com Pages Crawled: 42 Vulnerabilities Found: - SQL Injection - XSS - Missing Security Headers ``` # 🔮 未来增强 * 基于 AI 的漏洞检测 * JavaScript DOM 扫描 * 认证测试 * 云端扫描 * 实时仪表板 * 自动修复建议 # 📚 教育目的 本项目是为**学习网络安全概念**并了解漏洞扫描器内部工作原理而开发的。 # ⭐ 贡献者 * Kusshal S * Dinesh Kumar S * Priyanjan G K # 📜 许可证 本项目仅用于**教育目的**。 请负责任地使用。

标签：AV绕过, BeEF, Bug Bounty, CISA项目, DNS枚举, DOE合作, FastAPI, LFI检测, Python, Snort++, Splunk, SQL注入检测, SSTI检测, Talos规则, Web安全, Web扫描器, XSS检测, XXE攻击, 主动扫描, 云存储安全, 代码生成, 可自定义解析器, 密码管理, 异步扫描, 无后门, 渗透测试工具, 漏洞报告生成, 爬虫, 网络安全审计, 网络安全工具, 网络扫描, 蓝队分析, 被动扫描, 逆向工具