SasmithaSandakan/web-vulnerability-scanner

# Web 漏洞扫描器 ## 概述 本项目是一个基于 Python 的 Web 漏洞扫描器，仅用于教育和授权的安全测试目的。 它对 Web 应用程序执行基本的侦察和安全分析，包括头部检查、表单发现以及简单的漏洞检测技术，如反射型跨站脚本（XSS）和 SQL 注入指标。 ## 功能 * HTTP 请求与响应分析 * 安全头部检查 * 表单发现与输入字段提取 * 基本反射型 XSS 检测 * 基本 SQL 注入检测（基于错误） ## 使用的技术 * Python * requests * BeautifulSoup (bs4) ## 项目结构 ``` web-vulnerability-scanner/ │ ├── scanner.py ├── requirements.txt └── README.md ``` ## 安装 安装所需库： ``` pip install requests beautifulsoup4 ``` ## 使用方法 ``` python scanner.py ``` 然后在提示时输入目标 URL。 ## 示例用法 ``` Enter target URL: http://127.0.0.1:8000 ``` ## 示例输出 ``` Target : http://127.0.0.1:8000 Status Code : 200 Server : SimpleHTTP/0.6 Python/3.x Security Header Analysis: [MISSING] Content-Security-Policy [MISSING] X-Frame-Options ... Form Discovery: Found 1 form(s) Form #1 Action : None Method : POST Inputs: - Name: email, Type: text - Name: pass, Type: password XSS Testing: [SAFE] No XSS detected SQL Injection Testing: [SAFE] No SQL injection indicators detected ``` ## 测试 对于本地测试，您可以运行一个简单的 HTTP 服务器： ``` python -m http.server 8000 --bind 127.0.0.1 ``` 然后进行扫描： ``` http://127.0.0.1:8000 ``` ## 重要声明 本工具严格仅供教育用途。 * 仅对您拥有或已获授权测试的系统使用 * 不要扫描未经授权的网站或网络 * 滥用本工具可能违反法律法规 ## 学习成果 本项目展示了以下方面的理解： * Web 应用程序结构与 HTTP 通信 * 安全头部及其防护作用 * 基于表单的输入处理 * 基本的漏洞检测技术（XSS 与 SQL 注入） * 网络安全测试中的伦理考量 ## 后续改进 * 高级 XSS 检测技术 * 改进的 SQL 注入测试方法 * 更好的表单处理（使用动作 URL） * 输出报告（CSV 或结构化日志） * 基于 CLI 的使用方式 ## 作者 网络安全本科生 网络与安全爱好者

标签：BeautifulSoup, Content-Security-Policy, HTTP服务器, HTTP请求分析, Python, requests库, Splunk, SQL注入检测, Web安全, Web应用结构, Web漏洞扫描, X-Frame-Options, 关键词SEO, 反射型XSS, 响应分析, 安全头检查, 安全测试, 攻击性安全, 教育用途, 无后门, 本地测试, 蓝队分析, 表单发现, 输入字段提取, 逆向工具, 错误型SQL注入