sreeja-011/Rapid-Vulnerability-Inspector
GitHub: sreeja-011/Rapid-Vulnerability-Inspector
这是一个轻量级 Python Web 安全扫描器,支持爬虫遍历、常见漏洞检测及 JSON 格式报告生成。
Stars: 0 | Forks: 0
# Rapid Vulnerability Inspector
Rapid Vulnerability Inspector 是一个基于 Python 的 Web 安全扫描器,**仅限经过授权的安全测试**。
它提供:
- 基础漏洞检查(SQL 注入错误信号、反射型 XSS 信号、缺失的安全头部)
- 内部链接爬取,以扫描每个目标的多个页面
- JSON 报告,包含严重性、修复建议和概念验证 细节
- 自定义扫描配置文件 (`profile.json`)
- 定期重复的扫描
- 通过单条命令支持多目标
- 针对关键发现的即时控制台警报
## 重要法律声明
此工具仅可用于您拥有所有权或明确获得授权进行测试的系统。未经授权的扫描可能是违法的。
## 功能映射
- **SQLi / XSS / Header checks(SQL 注入 / XSS / 头部检查):** 在 `app.py` 中实现
- **Crawler(爬虫):** 针对同域链接的 BFS(广度优先)爬取
- **Detailed reports(详细报告):** JSON 包含证据、严重性、建议和 PoC 字符串
- **Custom profiles(自定义配置文件):** 可通过 JSON 配置扫描器行为
- **Scheduling(调度):** 使用 APScheduler 进行定期扫描
- **Workflow integration(工作流集成):** CLI 优先的 JSON 输出,可与 CI/CD 和 API 接入流水线配合使用
- **False-positive reduction support(误报减少支持):** 忽略路径规则 + 查重发现
- **Real-time alerts(实时警报):** 发现关键问题时发出控制台警报
## 项目结构
```
rapid-vulnerability-inspector/
app.py
requirements.txt
README.md
```
## 设置
1. 创建虚拟环境(推荐):
```
python -m venv .venv
```
2. 激活虚拟环境:
- Windows PowerShell:
```
.\.venv\Scripts\Activate.ps1
```
3. 安装依赖:
```
pip install -r requirements.txt
```
## 快速开始
运行一次性扫描:
```
python app.py --targets https://example.com --output report.json
```
扫描多个目标:
```
python app.py --targets https://example.com https://testphp.vulnweb.com --output multi_report.json
```
每 30 分钟运行定期扫描:
```
python app.py --targets https://example.com --schedule-minutes 30 --output recurring_report.json
```
## 自定义扫描配置文件
创建一个 `profile.json` 文件:
```
{
"max_pages": 50,
"timeout": 10,
"delay_seconds": 0.3,
"verify_ssl": true,
"follow_redirects": true,
"ignore_paths": ["/logout", "/admin"],
"notify_console_only": true
}
```
然后运行:
```
python app.py --targets https://example.com --profile profile.json --output report.json
```
## 输出格式
报告以 JSON 格式编写,包含:
- 每个目标的 `reports[]`
- `scanned_pages[]`
- `vulnerabilities[]`
- `url`
- `vuln_type`
- `severity`
- `evidence`
- `recommendation`
- `poc`
- `summary.total`
- `summary.by_severity`
## 集成技巧
- **CI/CD:** 当解析报告 JSON 发现 `Critical`(严重)级别结果时,使流水线失败。
- **Dashboards(仪表板):** 将 JSON 接入 ELK/Splunk/Grafana 流水线。
- **APIs:** 将 `python app.py` 封装在服务端点中并存储报告产物。
## 限制
- 这是一个轻量级扫描器,并非完整的 DAST 平台。
- SQLi 和 XSS 检查基于启发式分析,可能会产生误报或漏报。
- JavaScript 重型页面和已认证路由仅部分覆盖。
## 后续改进(可选)
- 添加已认证扫描和会话处理
- 导出 Markdown/HTML/PDF 报告
- 添加 webhook/电子邮件/Slack 警报渠道
- 添加用于新漏洞检查的插件架构
标签:AES-256, BeEF, CISA项目, DOE合作, GPT, Homebrew安装, PoC, Python, SQL注入检测, Web安全扫描器, 代码生成, 多目标扫描, 安全头检查, 定时扫描, 无后门, 暴力破解, 渗透测试工具, 漏洞报告, 漏洞管理, 漏洞评估, 爬虫, 网络安全, 自动化分析, 跨站脚本, 逆向工具, 隐私保护