linguberidharani/Web_Vulnerability_Scanner

# 🔒 安全网站漏洞扫描器 一款专为**授权测试环境**设计的综合性基于 Web 的安全漏洞扫描器。这款教育工具可帮助您根据 OWASP 指南识别 Web 应用程序中的常见安全弱点。    ## ⚠️ 法律免责声明 **重要提示**：本工具专为教育目的和授权安全测试而设计。 - 仅在您拥有或有明确书面授权测试的网站上使用 - 未经授权的扫描可能违反计算机欺诈法 - 用户需对确保拥有适当授权承担全部责任 - 开发者不对滥用行为承担任何责任 ## ✨ 功能 ### 7 个安全扫描模块 1. **密码强度检查器** - 分析密码策略和强度要求 2. **密码重复使用检测** - 识别常用已泄露密码的使用情况 3. **默认凭据检测** - 测试是否存在默认的管理凭据 4. **HTTPS 与安全标头** - 验证 SSL/TLS 实现和安全标头 5. **身份验证失效** - 测试身份验证机制是否存在常见漏洞 6. **目录与文件暴露** - 检查暴露的敏感目录和文件 7. **过期软件检查器** - 检测过期的软件版本和已知的 CVE ### 用户界面 - 现代化的网络安全主题设计 - 实时扫描进度跟踪 - 基于严重程度的颜色编码（严重、高、中、低、信息） - 详细的漏洞报告 - 具有可操作性的修复建议 - 适配所有设备的响应式设计 ## 🚀 快速开始 ### 前置条件 - Node.js 18.x 或更高版本 - npm 9.x 或更高版本 ### 安装 1. **克隆仓库** ``` git clone cd secure-scanner-web ``` 2. **安装依赖项** ``` npm run install:all ``` 3. **配置环境变量** 前端 (`frontend/.env`)： ``` VITE_API_URL=http://localhost:5000 ``` 后端 (`backend/.env`)： ``` PORT=5000 NODE_ENV=development ALLOWED_ORIGINS=http://localhost:5173 RATE_LIMIT_WINDOW_MS=900000 RATE_LIMIT_MAX_REQUESTS=100 ``` 4. **启动开发服务器** ``` npm run dev ``` 这将启动： - 前端：http://localhost:5173 - 后端：http://localhost:5000 ## 📁 项目结构 ``` secure-scanner-web/ ├── frontend/ # React frontend application │ ├── src/ │ │ ├── components/ # React components │ │ ├── services/ # API services │ │ ├── utils/ # Utility functions │ │ └── hooks/ # Custom hooks │ └── package.json │ ├── backend/ # Express backend API │ ├── modules/ # Security scanning modules │ ├── services/ # Business logic │ ├── controllers/ # Route controllers │ ├── middleware/ # Express middleware │ └── package.json │ └── docs/ # Documentation ``` ## 🔧 使用 ### 运行扫描 1. 导航至 http://localhost:5173 2. 阅读并确认授权免责声明 3. 输入目标 URL（例如，`https://example.com`） 4. 选择您想要运行的安全模块 5. 点击“开始扫描” 6. 查看结果和建议 ### API 使用 ``` curl -X POST http://localhost:5000/api/scan \ -H "Content-Type: application/json" \ -d '{ "url": "https://example.com", "modules": [ "passwordStrength", "httpsHeaders", "defaultCredentials" ] }' ``` ## 🛠️ 技术栈 ### 前端 - React 18 - Vite - Tailwind CSS - Axios - Lucide React Icons ### 后端 - Node.js - Express.js - Axios - Helmet.js - Express Validator - Winston (日志记录) ## 📊 扫描模块详情 ### 密码强度检查器 - 分析密码字段要求 - 检查是否强制执行最小长度 - 验证复杂性要求 - 测试常见的弱密码 ### HTTPS 与安全标头 - 验证 HTTPS 实现 - 检查 HSTS 标头 - 验证 Content-Security-Policy - 测试 X-Frame-Options - 检查 X-Content-Type-Options ### 默认凭据 - 测试常见的默认用户名/密码 - 检查暴露的管理面板 - 验证身份验证要求 ### 目录暴露 - 扫描常见的暴露目录 - 检查目录列表 - 识别敏感文件暴露 ### 过期软件 - 检测服务器版本 - 识别过期的框架 - 检查已知的 CVE ## 🔐 安全特性 - 防止滥用的速率限制 - 输入验证与清理 - CORS 保护 - Helmet.js 安全标头 - 非侵入式扫描方法 - 无数据持久化 - 全面的错误处理 ## 📝 开发 ### 运行测试 ``` # Frontend 测试 cd frontend && npm test # Backend 测试 cd backend && npm test ``` ### 生产环境构建 ``` # 构建 frontend npm run build:frontend # 启动 production backend cd backend && npm start ``` ## 📄 许可证 本项目基于 MIT 许可证授权 - 有关详细信息，请参阅 LICENSE 文件。 ## ⚖️ 负责任的披露 如果您在此工具中发现安全漏洞，请负责任地进行报告： - 不要公开披露该漏洞 - 私下联系维护者 - 给予合理的修复时间 ## 🙏 鸣谢 - OWASP 基金会提供的安全指南 - 安全研究社区 - 开源贡献者 ## 📞 支持 如有问题或疑问： - 在 GitHub 上提交 issue - 查看 `/docs` 中的文档 - 查看 `/docs/API.md` 中的 API 文档 **请记住**：在扫描任何网站之前，请务必获取适当的授权。未经授权的安全测试是违法的。

标签：Claude, CMS安全, CVE检测, DNS枚举, GNU通用公共许可证, HTTPS检测, JavaScript, MITM代理, Node.js, React, Syscalls, Web安全, 安全响应头, 安全教育, 密码复用检测, 密码管理, 授权测试, 敏感文件泄露, 漏洞报告, 网络安全, 网络安全工具, 自定义脚本, 蓝队分析, 认证漏洞, 软件版本识别, 隐私保护, 默认凭证检测