nevin17051/WebVulnScan
GitHub: nevin17051/WebVulnScan
一款基于Python的自动化Web漏洞扫描器,能快速检测OWASP Top 10常见安全问题并生成PDF报告。
Stars: 0 | Forks: 0
# 🔐 WebVulnScan — 自动化 Web 漏洞扫描器
**由 Nevin Varghese John 构建 | 网络安全分析师 | VAPT 专家**
## 📋 功能特性
| 检查项 | 描述 |
|-------|-------------|
| 🔒 SSL/TLS | 检测缺失的 HTTPS、过期/无效证书 |
| 🛡️ 安全标头 | 检查 CSP、HSTS、X-Frame-Options 等 |
| 💉 SQL 注入 | 基于错误的 SQLi 检测(针对表单和 URL 参数) |
| ⚡ 反射型 XSS | 测试 GET/POST 参数和表单输入 |
| 📂 敏感文件 | 检测暴露的 `.git`、`.env`、`phpinfo.php` 及备份文件 |
| 🍪 Cookie 安全 | 检查 Secure、HttpOnly、SameSite 标志 |
| 🔀 开放重定向 | 检测未经验证的重定向参数 |
| ℹ️ 信息泄露 | 服务器版本、X-Powered-By、详细的错误页面 |
## ⚙️ 安装说明
```
git clone https://github.com/YOUR_USERNAME/webvulnscan.git
cd webvulnscan
pip install -r requirements.txt
```
## 🚀 使用方法
```
# Basic 扫描
python scanner.py -u https://target.com
# 自定义输出文件名
python scanner.py -u https://target.com -o my_report.pdf
# Verbose(同时显示通过的检查)
python scanner.py -u https://target.com -v
# 仅扫描,无 PDF
python scanner.py -u https://target.com --no-report
```
## 📄 示例输出
```
[*] Checking SSL/TLS configuration...
[High] No HTTPS / Unencrypted Connection
[*] Checking security headers...
[High] Missing Content-Security-Policy
[High] Missing HSTS Header
[Medium] Missing X-Frame-Options
[*] Testing for SQL Injection...
[Critical] SQL Injection (Error-Based) via Form
[*] Checking for exposed sensitive files...
[Critical] Git Repository Exposed
[Critical] Environment File Exposed
SCAN COMPLETE — 6 finding(s)
Critical: 2
High: 2
Medium: 1
Low: 1
[+] PDF report saved: vulnerability_report.pdf
```
## 🧪 安全测试环境
**仅扫描您拥有或获得授权测试的系统。**
推荐的练习目标:
- [DVWA](https://github.com/digininja/DVWA) — Damn Vulnerable Web App(通过 Docker 在本地运行)
- [bWAPP](http://www.itsecgames.com/) — Buggy Web Application
- [HackTheBox](https://hackthebox.com) / [TryHackMe](https://tryhackme.com)
```
# 快速 DVWA 设置
docker run --rm -it -p 80:80 vulnerables/web-dvwa
python scanner.py -u http://localhost
```
## 📦 环境要求
```
requests>=2.28.0
beautifulsoup4>=4.11.0
fpdf2>=2.7.0
```
## ⚠️ 法律免责声明
本工具仅供**已授权的安全测试和教育目的**使用。
未经授权扫描系统是**违法的**。在测试前,请务必获得书面许可。
## 🔗 联系方式
**Nevin Varghese John**
[LinkedIn](https://linkedin.com/in/nevin-varghese-john) | 印度喀拉拉邦
标签:Cookie安全, DVWA, HTTP(S)分析, OWASP Top 10, PDF报告生成, Python安全工具, SQL注入检测, SSL/TLS检查, VAPT, Web漏洞扫描器, XSS检测, 信息泄露, 反射型XSS, 安全响应头, 密码管理, 开放重定向, 插件系统, 敏感文件泄露, 数据泄露, 网络安全, 网络应用安全, 逆向工具, 隐私保护, 黑盒测试