jay-sharma-sec/web-vuln-scanner

# Web 漏洞扫描器 一个轻量级的基于 Python 的 Web 漏洞扫描器，用于检查常见的 **OWASP Top 10** 漏洞。专为授权目标的教育用途和安全研究而构建。 ## 执行检查 | 检查 | OWASP 类别 | 检测内容 | |---|---|---| | SQL 注入 | A03:2021 | 未净化输入导致的 DB 错误字符串 | | 跨站脚本 (XSS) | A03:2021 | HTML 响应中的反射载荷 | | 缺失安全头 | A05:2021 | CSP、X-Frame-Options、HSTS 等 | | 目录遍历 | A01:2021 | 访问敏感 OS 文件的路径遍历 | | 开放重定向 | A01:2021 | 未经验证的重定向参数 | ## 要求 ``` pip install requests beautifulsoup4 ``` ## 用法 ``` python web_vuln_scanner.py -u ``` ### 示例 ``` # 完整扫描 python web_vuln_scanner.py -u http://testphp.vulnweb.com # 跳过特定检查 python web_vuln_scanner.py -u http://testphp.vulnweb.com --skip-sqli --skip-xss # 仅检查安全标头 python web_vuln_scanner.py -u https://example.com --skip-sqli --skip-xss --skip-traversal --skip-redirect ``` ### 示例输出 ``` ╔══════════════════════════════════════════╗ ║ Web Vulnerability Scanner ║ ║ OWASP Top 10 Checks ║ ╚══════════════════════════════════════════╝ [*] Target: http://testphp.vulnweb.com [*] Starting scan... ────────────────────────────────────────────── [*] Checking SQL Injection... [VULN] SQL Injection found in form on http://testphp.vulnweb.com Payload: ' [*] Checking Cross-Site Scripting (XSS)... [OK] No reflected XSS indicators found. [*] Checking Security Headers... [MISS] Content-Security-Policy is MISSING — Prevents XSS and data injection attacks [MISS] Strict-Transport-Security is MISSING — Enforces HTTPS connections [OK] X-Content-Type-Options is present. ... ``` ## 法律声明 本工具仅供 **教育用途**。仅应对您拥有或获得明确书面许可的目标进行测试。未经授权的扫描是非法且不道德的。 ## 作者 **Jay Sharma** — [github.com/jay-sharma-sec](https://github.com/jay-sharma-sec) | [LinkedIn](https://www.linkedin.com/in/jay-sharma-cybersecurity-analyst) *作为网络安全学习之旅的一部分而构建。欢迎反馈与贡献。*

标签：beautifulsoup4, CISA项目, OWASP Top 10, Python, requests, --skip-redirect, --skip-sqli, --skip-traversal, --skip-xss, -u, Web漏洞扫描, XSS, 安全头, 开放重定向, 教育用途, 无后门, 漏洞情报, 网络安全, 逆向工具, 隐私保护