muhammadbazilmhd/LowHangingFruits

# LowHangingFruits LowHangingFruits 是一个基于异步 Python 的 Web 攻击面分诊工具，旨在快速识别 Web 应用程序中的低危（易利用）漏洞。 ## 漏洞验证

## 功能特性 * 缺失安全头检测（CSP、HSTS、X-Frame-Options 等） * 敏感端点发现（`/.env`、`/.git`、`/admin` 等） * JavaScript 敏感信息扫描（API 密钥、token、JWT） * 风险评分系统（低 / 中 / 高） * 发现结果的 CWE 映射 * 子域名发现： * crt.sh（证书透明度日志） * subfinder 集成 * 使用 aiohttp 进行异步扫描 * JSON + HTML 报告生成 * 带有严重性级别的清晰 CLI 输出 ## 安装说明 ``` git clone https://github.com/YOUR_USERNAME/LowHangingFruits.git cd LowHangingFruits pip install -r requirements.txt ``` ## 使用说明 ### 基础扫描 ``` python LowHangingFruits.py -t example.com ``` ### 结合子域名发现 ``` python LowHangingFruits.py -t example.com --subdomains --crtsh --subfinder ``` ### 生成 HTML 报告 ``` python LowHangingFruits.py -t example.com --html ``` ## 输出 结果会自动保存在： ``` outputs/ ``` * JSON 报告（供机器读取） * HTML 报告（供人工阅读） ## 免责声明 本工具仅供教育和经授权的安全测试目的使用。 ## 未来改进 * 自动扫描已发现的子域名 * 更多敏感信息检测模式（你知道该改什么。克隆此仓库，随时可以更改或添加任何你想要的内容，比如我未包含的敏感信息模式和更多的敏感端点）。 * 改进误报过滤 * 额外的侦察（recon）集成

标签：aiohttp, API密钥泄露, CWE映射, DNS枚举, GitHub, HTML报告, JSON报告, JWT令牌, Python, subfinder, Web安全, 低危漏洞挖掘, 加密, 动态插桩, 安全头检测, 实时处理, 密码管理, 异步扫描, 攻击面扫描, 敏感文件泄露, 无后门, 泄露秘密检测, 漏洞扫描器, 网络安全工具, 蓝队分析, 资产测绘, 逆向工具, 黑盒测试