Colofoniu/WebSec-scanner

WebSec Scanner 是一款开源的、企业级 Windows 被动安全审计工具，使用 Python 构建并带有原生桌面 GUI。它对任何目标网站执行真实的安全检查——不使用代理、不发送 Payload、不进行模拟——仅进行真实的 HTTP、DNS、TLS 和网络分析。 **检查内容：** 该扫描器涵盖 27 个真实审计类别，包括安全标头（CSP、HSTS、X-Frame-Options、Permissions-Policy 等）、TLS/SSL 配置（协议版本、加密套件强度、证书有效性、SANs）、DNS 记录（A、AAAA、MX、NS、CAA、SPF、DMARC、DKIM 及策略执行）、Cookie 安全标志（Secure、HttpOnly、SameSite、前缀加固）、敏感文件和目录暴露（.env、.git/config、backup.sql、phpinfo.php 等 40 多种）、管理面板和 API 端点发现、子域名枚举及悬空 CNAME 接管检测、WAF 和 CDN 指纹识别、云存储桶暴露（AWS S3、Google Cloud Storage、Azure Blob）、开放重定向测试、HTML 源代码秘密分析（AWS 密钥、GitHub 令牌、API 密钥）、CSRF 令牌检测、Subresource Integrity 检查、常用端口扫描（Redis、MongoDB、MySQL、RDP、Elasticsearch 等）、电子邮件安全（SPF、DMARC 策略级别、DKIM）、速率限制检测以及服务器/框架版本泄露。 **主要功能：** * 完全被动——不向目标发送利用 Payload * 使用 Python ThreadPoolExecutor 的并行扫描引擎，速度极快 * 检查完成后实时显示结果 * 带有问题计数和严重性标记的类别侧边栏 * 按严重性筛选结果：CRITICAL、HIGH、MEDIUM、LOW、INFO * 证据面板——点击任何发现项查看原始证据 * 安全评分（0–100）及风险等级评定 * 将报告导出为 HTML、JSON 或 CSV * STOP 按钮可取消扫描 * 单个便携版 .exe——无需安装 **构建技术：** Python 3.8+ · tkinter · Cloudflare DNS over HTTPS · 仅使用 stdlib（无第三方依赖） **构建方法：** 安装 Python，双击 BUILD_EXE.bat，即可获得便携版 WebSecScanner.exe。 仅供教育和授权测试用途。在扫描任何您不拥有的网站之前，请务必获得书面许可。

标签：CNAME接管, Cookie安全, CSP检测, DInvoke, DNS安全, GitHub, HSTS, HTML源码分析, HTTP分析, Python, Snort++, SPF/DMARC/DKIM, Tkinter, TLS/SSL检测, WAF指纹识别, Web安全, Windows桌面应用, 云存储安全, 企业级安全, 加密, 子域名枚举, 安全评分, 密码管理, 开源安全工具, 插件系统, 敏感文件泄露, 数据统计, 无后门, 无线安全, 漏洞扫描器, 独立可执行文件, 端口扫描, 系统安全, 网站安全, 网络安全, 网络扫描, 蓝队分析, 被动扫描, 足迹分析, 逆向工程平台, 隐私保护