Debasish-Nayak-556/web-vuln-scanner

# WebVulnScanner 🔍 一款具有暗色终端 UI 的全栈 Web 漏洞扫描器。 ## 功能特性 - **SQL 注入** — 基于错误和基于时间盲注的检测 - **XSS (反射型)** — Payload 注入与响应反射分析 - **安全响应头** — 检查 CSP、HSTS、X-Frame-Options 等 - **SSL/TLS 分析** — 证书有效期、弱加密套件、TLS 版本 - **CSRF 检测** — 表单 Token 分析 - **开放重定向** — 常见重定向参数模糊测试 - **实时终端日志** — 实时扫描输出 - **严重等级过滤** — 按 Critical / High / Medium / Low / Info 过滤 - **JSON 导出** — 导出完整报告 ## 快速开始 ### 1. 安装依赖 ``` pip install -r requirements.txt ``` ### 2. 运行服务器 ``` python app.py ``` ### 3. 打开浏览器 ``` http://localhost:5000 ``` ## 使用说明 1. 输入目标 URL（必须为您拥有或经授权测试的站点） 2. 切换启用所需的扫描模块 3. 点击 **[ INITIATE SCAN ]** 4. 查看实时终端输出 5. 查看按严重等级排序的发现结果 6. 将结果导出为 JSON ## 项目结构 ``` web-vuln-scanner/ ├── app.py # Flask backend + API ├── requirements.txt ├── templates/ │ └── index.html # Frontend UI └── scanner/ ├── __init__.py ├── headers.py # Security headers check ├── ssl_check.py # SSL/TLS analysis ├── sqli.py # SQL Injection detection ├── xss.py # XSS detection ├── csrf.py # CSRF token check └── open_redirect.py # Open redirect detection ``` ## ⚠️ 法律声明 仅将此工具用于您**拥有**或拥有**明确书面授权**测试的网站。 未经授权的扫描是非法且不道德的。 ## API 端点 | Method | Endpoint | 描述 | |--------|----------|-------------| | POST | `/api/scan` | 发起新扫描 | | GET | `/api/scan/` | 轮询扫描状态、日志和发现结果 | ### POST /api/scan ``` { "url": "https://example.com", "options": { "headers": true, "ssl": true, "sqli": true, "xss": true, "csrf": true, "redirect": true } } ``` ### 响应 ``` { "scan_id": "a1b2c3d4", "status": "running", "progress": 42, "logs": [ { "time": "12:00:01", "msg": "Initializing scan...", "level": "info" } ], "findings": [ { "title": "Missing Header: Content-Security-Policy", "severity": "high", "category": "Security Headers", "description": "...", "fix": "...", "evidence": "...", "url": "https://example.com" } ] } ```

标签：AES-256, CI/CD安全, CISA项目, CSP检测, CSRF检测, DOE合作, Flask, HSTS, HTTP安全, JSON导出, Llama, Python, SQL注入检测, SSL/TLS分析, Web漏洞扫描器, XSS检测, 反射型XSS, 后端开发, 多模态安全, 安全头检测, 开放重定向, 数据可视化, 无后门, 漏洞评估, 网络安全, 逆向工具, 隐私保护, 黑白终端界面