adiiitya01/Vuln-Web-Scanner

# 漏洞网页扫描器 自动化的网络漏洞扫描器，可检测 OWASP Top 10 漏洞并生成结构化安全报告。 作为一个实用的安全工具——而不是课程项目。在隔离的实验室环境中针对 DVWA 和 WebGoat 进行了测试。 ## 检测内容 - SQL 注入（基于错误和基于时间的） - 跨站脚本（XSS）——反射和存储 - 跨站请求伪造（CSRF） - 缺失/配置不当的 HTTP 安全头 - 不安全的 Cookie 属性（Secure、HttpOnly、SameSite 标志） ## 工作原理 1. 输入目标 URL（仅限基于权限的测试） 2. 使用 Python `requests` 发送精心制作的 HTTP 有效载荷 3. 分析响应以查找注入向量和配置错误 4. 生成带有修复步骤的严重程度评分 HTML 报告 ## 技术栈 | 组件 | 技术 | |---|---| | 后端 | Python 3, Flask | | HTTP 引擎 | Python `requests` | | 有效载荷交付 | 自定义 HTTP 有效载荷构建器 | | 报告 | HTML 报告生成器 | | 测试目标 | DVWA, WebGoat | ## 安装 ``` git clone https://github.com/adiiitya01/Vuln-Web-Scanner.git cd Vuln-Web-Scanner pip install -r requirements.txt python app.py ``` 打开 `http://localhost:5000` 并输入目标 URL 以开始扫描。 ## 示例输出 ``` [*] Starting scan on: http://testphp.vulnweb.com [+] SQL Injection found — parameter: id (error-based) [+] XSS found — parameter: search [-] CSRF: No token detected on POST forms [!] Missing headers: X-Frame-Options, Content-Security-Policy [*] Report saved: report_20260201_143022.html ``` ## 法律免责声明 本工具仅适用于授权的安全测试。 未经明确书面许可，切勿运行于系统。 作者不对滥用行为负责。 ## 展示的技能 `渗透测试` `Web 应用安全` `OWASP Top 10` `Python` `Flask` `安全自动化` `漏洞评估` ## 作者 Aditya Udugade — CEH 认证 | 孟买 [LinkedIn](https://linkedin.com/in/aditya-udugade-28147b345) · [GitHub](https://github.com/adiiitya01)

标签：AES-256, CSRF攻击, DNS 反向解析, DOE合作, Flask, OWASP Top 10, PE 加载器, Python, Web安全, XML 请求, XSS攻击, 安全头部, 安全开发, 安全报告, 无后门, 漏洞评估, 网络安全审计, 蓝队分析, 逆向工具