hnikhil-dev/VScanX

# VScanX - 道德漏洞扫描器      **VScanX** 是一款轻量级、模块化的道德漏洞扫描器，专为授权安全测试而设计。它结合了 Web 和网络扫描功能，重点关注简洁的架构、专业的代码质量以及负责任的披露实践。 ## ⚙️ 安装 (快速) ``` # Option 1: 从源码 git clone https://github.com/hnikhil-dev/VScanX.git && cd VScanX pip install -r requirements.txt python vscanx.py -h # Option 2: 通过 pip（发布后） pipx install vscanx ``` ## ⚠️ 法律警告 **本工具仅供授权安全测试使用** 您必须拥有明确的书面许可才能扫描任何目标系统。未经授权的扫描可能会违反： - 美国的《计算机欺诈和滥用法》(CFAA) - 英国的《计算机滥用法》 - 其他司法管辖区的类似法律 **使用本工具即表示您同意：** - 仅扫描您拥有或已获得书面授权测试的系统 - 遵守所有适用的法律和法规 - 对您的行为承担全部责任 开发者对本工具的滥用不承担任何责任。有关完整条款，请参阅 [LEGAL.md](LEGAL.md)。 ## 🎯 为什么开发此工具 大多数初学者依赖工具，却不了解漏洞是如何被检测出来的。 我开发 VScanX 是为了探索： - 扫描器实际上是如何识别漏洞的 - 自动化检测的局限性 - 现实世界中的边缘情况如何影响扫描准确性 本项目侧重于理解检测逻辑，而不仅仅是使用工具。 ## 🎯 功能 ### 目前具备的功能 - **认证扫描**：可选的 Bearer/API-key/登录/会话支持。 - **Web 模块**：SQLi（基于错误/布尔/时间）、XSS、headers、目录枚举、CVE 检查。 - **网络**：带有服务提示的 TCP 端口扫描；可选的并行 Web 模块。 - **结构化输出**：JSON schema 验证，经过净化处理的导出 (HTML/JSON/CSV/TXT/PDF)。 - **可观测性**：JSON 日志记录、指标产物、带有数据脱敏的可选调试捕获。 - **道德默认设置**：法律警告、速率限制、安全载荷、选择启用的并行处理。 - **CI/测试**：ruff + pytest/coverage，模糊/启发式测试，schema 验证，模块中的 no-print 检查。 ### 计划中的未来功能 - 服务指纹识别 - 插件加载器（动态模块发现） - 打包与分发 (PyPI/安装程序) ## 🧠 主要心得 - 自动化扫描器无法取代手动分析 - 许多漏洞需要上下文感知检测 - 误报和边缘情况是主要挑战 - 安全工具的优劣取决于其背后的逻辑 ## 🧪 测试与 CI/CD VScanX 包含自动化测试和持续集成： - Ruff 代码检查 (GitHub Actions) - 带有覆盖率的 Pytest（单元 + 冒烟 + 模糊/启发式） - 用于阻止在模块中使用 `print()` 的 CI 检查 - 本地测试：有关完整指南，请参阅 [TESTING.md](TESTING.md) 在本地运行所有测试： ``` pip install -r requirements.txt pytest -q ``` ## 🛣️ 路线图 有关详细的功能路线图、已完成的工作和下一步的优先事项，请参阅 [ROADMAP.md](ROADMAP.md)。 **当前重点**：生产就绪 — 代码检查、CI 优化、文档以及法律/打包相关事项 ## 🚀 快速入门 ### 前置条件 - Python 3.11+ - pip 包管理器 - Root/管理员权限（Scapy 端口扫描需要） ### 安装 1. **克隆仓库** ``` git clone https://github.com/hnikhil-dev/VScanX.git cd VScanX ```

标签：CI/CD安全, CISA项目, CVE检查, DevSecOps, Llama, Python安全工具, SQL注入检测, Web安全测试, XSS检测, 上游代理, 云存储安全, 加密, 多格式报告, 安全合规, 安全响应头分析, 安全规则引擎, 并行执行, 授权安全测试, 插件系统, 漏洞扫描器, 目录枚举, 移动安全, 结构化日志, 网络代理, 网络安全, 网络扫描, 逆向工具, 隐私保护