Dhananjaydk15/metasploit-web-vulnerability-scanner

GitHub: Dhananjaydk15/metasploit-web-vulnerability-scanner

基于 Metasploit 框架的自定义 Auxiliary 模块,将安全头审计、端口扫描、敏感端点发现和 OWASP 映射整合为一站式 Web 安全侦察工具,并输出带安全评分的专业报告。

Stars: 1 | Forks: 0

# 🛡️ Web Vulnerability Scanner ### 🚀 用于 Web 安全评估的自定义 Metasploit Auxiliary 模块 ### ⚡ 为安全研究人员、渗透测试人员和学习者打造的专业 Web 漏洞扫描器
# 📌 概述 **Web Vulnerability Scanner** 是一个自定义的 **Metasploit Auxiliary 模块**,旨在执行快速且实用的 **Web 应用安全评估**。 它结合了: ✅ OWASP Top 10 检查 ✅ 安全响应头分析 ✅ 开放端口发现 ✅ 常见端点检测 ✅ CORS 错误配置检查 ✅ 高级 HTML 报告 # ✨ 功能 ## 🔐 安全响应头审计 检查以下项目: - Content-Security-Policy - Strict-Transport-Security - X-Frame-Options - X-Content-Type-Options - Referrer-Policy - Permissions-Policy ## 🎯 OWASP Top 10 映射 发现的漏洞将映射至: | OWASP 类别 | 覆盖范围 | |---------------|----------| | A01 | 失效的访问控制 (Broken Access Control) | | A02 | 加密失败 (Cryptographic Failures) | | A03 | 注入 (Injection) | | A05 | 安全配置错误 (Security Misconfiguration) | ## 🌐 开放端口扫描 扫描常见端口: 21, 22, 25, 53, 80, 110, 143, 443, 3306, 5432, 6379, 8080, 8443 ## 📂 端点发现 检查常见的敏感端点: - /admin - /login - /dashboard - /robots.txt - /swagger - /actuator ## 📊 报告引擎 ### 支持: ✅ HTML 高级仪表板 ✅ JSON 输出 ✅ CSV 报告 ✅ TXT 报告 ## ⚙️ 安装 - 步骤 1:复制模块 1. mkdir -p ~/.msf4/modules/auxiliary/scanner/http 2. cp web_vulnerability_scanner.rb ~/.msf4/modules/auxiliary/scanner/http/ - 步骤 2:启动 Metasploit msfconsole - 步骤 3:重新加载模块 reload_all - 步骤 4:使用模块 use auxiliary/scanner/http/web_vulnerability_scanner ## 🚀 用法 ### 基础扫描 - set RHOSTS example.com - set RPORT 443 - set SSL true - run ### 生成 HTML 报告 - set FORMAT html - set OUTFILE /home/kali/Desktop/report - run ### 生成 JSON 报告 - set FORMAT json - run ## 📋 示例输出 [+] 端口 443 开放 [+] Content-Security-Policy:存在 [!] Strict-Transport-Security:缺失 [+] 发现 /login (200) [+] HTML 报告已保存 ## 截图 ![扫描输出](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/af4cc614a3180651.png) ![HTML 报告](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/398a13e8c7180659.png) ## 📈 示例报告包含 ✅ 安全评分 ✅ 总体风险等级 ✅ 开放端口 ✅ 存在的响应头 ✅ 暴露的端点 ✅ 详细发现 ✅ OWASP 映射 ✅ 建议 ## 🎯 使用场景 ### 🧪 渗透测试 在深入测试之前进行快速侦察。 ### 🐞 漏洞赏金 快速目标分析。 ### 🎓 安全学习 了解实用的 Web 安全问题。 ### 🏢 内部安全审计 快速网站基线评估。 #### 后续版本计划 🔥 CVSS 评分 📄 PDF 报告 🌙 报告暗黑模式 🌍 多目标扫描 📸 截图捕获 🔎 技术指纹识别 🔐 TLS 分析 🍪 Cookie 安全检查 ⚠️ 免责声明 本项目**仅用于授权的安全测试、研究和教育目的**。 请仅在你拥有或获得明确书面授权评估的系统上使用此工具。 未经授权扫描或测试第三方系统可能违反法律、法规或组织政策。 作者不对因使用或滥用本工具造成的损害负责。 ## 👨‍💻 作者 Dhananjay DK ## 网络安全学习者,专注于: - Web 安全 - Metasploit 自定义模块 - 进攻性安全工具开发 - 实用应用安全 (AppSec) ### 如果你觉得这个项目有用: ✅ 给仓库点个 Star ✅ Fork 本项目 ✅ 对其进行改进 ✅ 分享反馈 ## 📜 许可证 MIT 许可证
标签:CORS跨域检测, HTML报告生成, Metasploit模块, OWASP Top 10, Ruby, Web漏洞扫描器, 安全头部审计, 插件系统, 数据统计, 知识库, 端口扫描, 网络安全审计, 网络安全评估