Gnanavi-S101/WEB-VULNERABILITY-SCANNER

# WEB-VULNERABILITY-SCANNER ## 描述 在当今互联世界中，Web 应用程序是攻击者最常见的目标之一。从登录表单到搜索栏，网站上任何接受用户输入的部分都可能成为恶意活动的潜在入口。SQL 注入和跨站脚本攻击 (XSS) 是最知名且被广泛利用的 Web 漏洞中的两种，它们常年出现在 OWASP Top 10 列表中——这是一个旨在识别 Web 应用程序中最关键安全风险的全球公认标准。 本项目是网络安全实习的一部分，旨在演示这些漏洞的工作原理以及如何使用自动化工具来检测它们。该扫描器使用 Python 编写，并使用了两个库——用于发送 HTTP 请求的 Requests 和用于解析 HTML 的 BeautifulSoup——来查找目标网页上的表单并与之交互，随后使用已知的攻击载荷测试这些表单，以识别潜在的弱点。 ## 工作原理 ## 发现页面中的表单 扫描 Web 应用程序的第一步是确定哪里接受了用户输入。HTML 表单是网站收集用户输入的最常见方式——它们为登录页面、搜索栏、评论区等提供支持。该工具使用 Requests 库向目标 URL 发送 HTTP GET 请求，然后使用 BeautifulSoup 解析 HTML 响应，并提取页面上找到的所有表单元素。对于每个表单，该工具会收集 action URL（表单提交数据的目标地址）、method（GET 或 POST）以及其中的所有输入字段。 ## 扫描 SQL 注入 SQL 注入是一种当 Web 应用程序将用户输入直接传递到数据库查询中而未事先进行适当清理时发生的漏洞。攻击者可以通过输入特制的数据来利用此漏洞，这些输入会操纵查询并诱使数据库返回不应返回的数据，或者暴露出揭示数据库结构的错误信息。 该工具通过向表单中的每个文本输入字段提交一组常见的 SQL 载荷（例如 `' OR '1'='1`）来测试 SQL 注入。随后，它会检查服务器响应中是否包含与 SQL 相关的错误信息。如果在响应中发现了错误关键字，这就是该应用程序易受 SQL 注入攻击的强烈指示。 ## 扫描 XSS 跨站脚本攻击（简称 XSS）是一种当网站在未对用户输入进行清理的情况下将其返回给浏览器时发生的漏洞。这允许攻击者将恶意的 JavaScript 注入到页面中，随后在访问该页面的任何人的浏览器中执行。XSS 可被用于窃取会话 cookie、重定向用户或代替受害者执行操作。 该工具通过向每个表单输入字段提交一个 script 标签载荷来测试 XSS，然后检查该确切的载荷是否出现在服务器的响应中。如果网站在 HTML 中原样返回了该载荷，则意味着输入未经过清理，并且该站点存在遭受 XSS 攻击的潜在风险。

标签：BeautifulSoup, CISA项目, DNS枚举, HTTP请求, Linux取证, OWASP Top 10, Python, Requests库, Splunk, SQL注入检测, Web安全, XSS检测, 加密, 字符串匹配, 攻击向量探测, 无后门, 漏洞扫描器, 网络安全, 网络安全实习, 网络安全工具, 蓝队分析, 表单解析, 跨站脚本攻击, 逆向工具, 隐私保护, 黑盒测试