HackingHusky/web-surface-inspector
GitHub: HackingHusky/web-surface-inspector
一款集成 Web 侦察、技术栈指纹识别、CVE 关联与 LLM 提示词注入检测的命令行攻击面分析工具。
Stars: 1 | Forks: 0
# Web Surface Inspector
一款用于目标攻击面分析的自动化 Web 侦察与安全审计实用工具。该实用工具从目标 URL 聚合关键配置数据,对远程应用技术栈进行指纹识别,评估安全防御层,并检查网页正文是否存在大语言模型 (LLM) 提示词注入模式。
## 技术能力
* **HTTP 标头检查:** 枚举活动响应标头,以编录远程基础架构参数。
* **安全标头审计:** 以编程方式评估防御性标头(例如 CSP、HSTS、X-Frame-Options)的存在性与合规性。
* **应用技术栈指纹识别:** 解析 HTML 和标头提示,以确定底层服务器、框架和语言 runtime。
* **公开 CVE 关联:** 通过 CIRCL API 查询公共漏洞注册表,将发现的组件版本与历史漏洞进行关联。
* **LLM 提示词注入分析:** 扫描客户端结构化内容,检测旨在破坏下游 AI 集成的异常文本字符串或指令。
* **隔离数据筛选:** 包含一个结构化的容器层,用于安全地预览远程 CSV 文件的内容结构。
## 安装
在配置依赖项之前,请确保您的主机环境已安装 Python 3.8 或更高版本。
```
# 克隆 resource repository
git clone https://github.com
cd web-surface-inspector
# 提供所需的 library 依赖
pip install -r requirements.txt
```
## 操作指南
该实用工具作为交互式命令行界面运行。
### 执行命令
```
python inspector.py
```
### 使用工作流
1. 在您的终端环境中初始化脚本。
2. 出现提示时,提供一个完全限定的目标 URL:
Enter target URL: https://example.com
### 运行输出模式
该工具直接在终端界面内生成结构化的多层分析报告,涵盖:
* **基础架构标头:** 被动指纹数据。
* **防御合规性矩阵:** 详细说明缺失保护配置的标志。
* **威胁关联:** 与识别出的技术指纹相匹配的公开记录 CVE 摘要。
* **AI 输入验证标志:** 指向在源代码中发现的疑似提示词注入结构模式的分类警告。
## 系统要求
该应用程序依赖于本地配置清单中列出的外部第三方组件:
```
# requirements.txt
requests>=2.25.0
beautifulsoup4>=4.9.0
```
## 合规与法律授权
本应用程序严格作为授权漏洞生命周期管理、安全态势验证和防御性软件工程的管理脚手架而设计。该工具不具备主动利用能力;它完全通过对公开暴露的数据层面进行被动和结构化分析来运作。
未经系统操作员事先明确书面授权,对 endpoint 运行自动化分析违反了地方和国际计算机保护法规。对于本工具的不当配置或鲁莽部署,作者不承担任何法律责任或财务赔偿义务。
## 许可证
本项目是开源软件,在 **MIT License** 条款下发布。有关完整的许可和重新分发条款,请参阅随附的 `LICENSE` 文件。
一款用于目标攻击面分析的自动化 Web 侦察与安全审计实用工具。该实用工具从目标 URL 聚合关键配置数据,对远程应用技术栈进行指纹识别,评估安全防御层,并检查网页正文是否存在大语言模型 (LLM) 提示词注入模式。
## 技术能力
* **HTTP 标头检查:** 枚举活动响应标头,以编录远程基础架构参数。
* **安全标头审计:** 以编程方式评估防御性标头(例如 CSP、HSTS、X-Frame-Options)的存在性与合规性。
* **应用技术栈指纹识别:** 解析 HTML 和标头提示,以确定底层服务器、框架和语言 runtime。
* **公开 CVE 关联:** 通过 CIRCL API 查询公共漏洞注册表,将发现的组件版本与历史漏洞进行关联。
* **LLM 提示词注入分析:** 扫描客户端结构化内容,检测旨在破坏下游 AI 集成的异常文本字符串或指令。
* **隔离数据筛选:** 包含一个结构化的容器层,用于安全地预览远程 CSV 文件的内容结构。
## 安装
在配置依赖项之前,请确保您的主机环境已安装 Python 3.8 或更高版本。
```
# 克隆 resource repository
git clone https://github.com
cd web-surface-inspector
# 提供所需的 library 依赖
pip install -r requirements.txt
```
## 操作指南
该实用工具作为交互式命令行界面运行。
### 执行命令
```
python inspector.py
```
### 使用工作流
1. 在您的终端环境中初始化脚本。
2. 出现提示时,提供一个完全限定的目标 URL:
Enter target URL: https://example.com
### 运行输出模式
该工具直接在终端界面内生成结构化的多层分析报告,涵盖:
* **基础架构标头:** 被动指纹数据。
* **防御合规性矩阵:** 详细说明缺失保护配置的标志。
* **威胁关联:** 与识别出的技术指纹相匹配的公开记录 CVE 摘要。
* **AI 输入验证标志:** 指向在源代码中发现的疑似提示词注入结构模式的分类警告。
## 系统要求
该应用程序依赖于本地配置清单中列出的外部第三方组件:
```
# requirements.txt
requests>=2.25.0
beautifulsoup4>=4.9.0
```
## 合规与法律授权
本应用程序严格作为授权漏洞生命周期管理、安全态势验证和防御性软件工程的管理脚手架而设计。该工具不具备主动利用能力;它完全通过对公开暴露的数据层面进行被动和结构化分析来运作。
未经系统操作员事先明确书面授权,对 endpoint 运行自动化分析违反了地方和国际计算机保护法规。对于本工具的不当配置或鲁莽部署,作者不承担任何法律责任或财务赔偿义务。
## 许可证
本项目是开源软件,在 **MIT License** 条款下发布。有关完整的许可和重新分发条款,请参阅随附的 `LICENSE` 文件。标签:C2日志可视化, Python, Web安全, 实时处理, 指纹识别, 无后门, 漏洞审计, 自动化侦察, 蓝队分析, 逆向工具