megzz19/WEB-APPLICATION-VULNERABILITY-SCANNER-Codetech-internship-project
GitHub: megzz19/WEB-APPLICATION-VULNERABILITY-SCANNER-Codetech-internship-project
一个基于 Python 的命令行 Web 漏洞扫描器,帮助发现常见安全缺陷并输出报告。
Stars: 0 | Forks: 0
# 🛡️ Web 应用程序漏洞扫描器
一个基于 Python 的命令行工具,用于爬取 Web 应用程序并扫描常见安全漏洞。
## 功能
| 模块 | 检测内容 | 严重程度 |
|---|---|---|
| **SQL 注入** | URL 参数与表单中的基于错误的 SQL 注入 | 高 |
| **XSS** | 反射型跨站脚本 | 高 |
| **目录遍历** | 通过 `../` 序列的路径遍历 | 高 |
| **开放重定向** | 未经验证的重定向参数 | 中 |
| **安全标头** | 缺少 HSTS、CSP、X-Frame-Options 等 | 低–中 |
## 安装
```
pip install -r requirements.txt
```
## 用法
```
# 基础扫描
python main.py -u http://target.com
# 自定义深度 + HTML 报告
python main.py -u http://target.com --depth 2 --output report.html
# 仅运行特定模块
python main.py -u http://target.com -m sqli xss headers
# 跳过免责声明提示
python main.py -u http://target.com --agree
# 详细模式
python main.py -u http://target.com -v
```
### 选项
| 标志 | 描述 | 默认值 |
|---|---|---|
| `-u, --url` | 目标 URL(必需) | — |
| `-d, --depth` | 最大爬取深度 | 3 |
| `-m, --modules` | 要运行的模块(`sqli xss traversal redirect headers`) | 全部 |
| `-o, --output` | HTML 报告输出路径 | 无 |
| `-v, --verbose` | 详细输出 | 关闭 |
| `-t, --timeout` | HTTP 超时(秒) | 10 |
| `--agree` | 跳过免责声明提示 | 关闭 |
## 使用易受攻击测试服务器进行测试
一个包含故意漏洞的 Flask 测试服务器已打包提供,用于安全测试:
```
pip install flask
python tests/vulnerable_app.py
# 然后在另一个终端:
python main.py -u http://127.0.0.1:5000 --agree --output report.html
```
## 项目结构
```
├── main.py # CLI entry point
├── requirements.txt # Dependencies
├── scanner/
│ ├── core.py # Scan engine orchestrator
│ ├── crawler.py # URL & form discovery
│ ├── reporter.py # Console + HTML report generator
│ ├── modules/
│ │ ├── base.py # Abstract base class & data models
│ │ ├── sqli.py # SQL Injection module
│ │ ├── xss.py # XSS module
│ │ ├── directory_traversal.py # Path traversal module
│ │ ├── open_redirect.py # Open redirect module
│ │ └── headers.py # Security headers module
│ └── payloads/
│ ├── sqli.txt # SQL injection payloads
│ ├── xss.txt # XSS payloads
│ └── traversal.txt # Traversal payloads
└── tests/
└── vulnerable_app.py # Intentionally vulnerable Flask app
```
## ⚠️ 免责声明
本工具仅供**授权安全测试**使用。未经明确许可扫描目标属于非法且不道德的行为。作者不对滥用行为承担任何责任。
标签:CISA项目, Crawl, Directory Traversal, DOE合作, HTML报告, HTTP安全, Open Redirect, PE 加载器, Security Headers, SQLi, Web安全, Web爬虫, XSS, 安全头, 安全测试, 开放重定向, 开源安全工具, 攻击性安全, 文档结构分析, 模块化扫描, 深度可控爬取, 漏洞情报, 结构化查询, 自动化分析, 自动化安全, 蓝队分析, 跨站脚本, 逆向工具, 逆向工程平台