Manojgolla0516/web-vuln-scanner
GitHub: Manojgolla0516/web-vuln-scanner
这是一个基于OWASP ZAP的Web漏洞扫描器,用于在Kali Linux上评估DVWA的安全漏洞并生成报告。
Stars: 0 | Forks: 0
## 实时报告
[查看完整的 ZAP 扫描报告](https://Manojgolla0516.github.io/web-vuln-scanner/ZAP-Report.html)
# Web 漏洞扫描器
在 Kali Linux 上本地运行的 OWASP ZAP 针对 DVWA(Damn Vulnerable Web Application)进行实操的 Web 漏洞评估。
## 使用的工具
| 工具 | 用途 |
|------|---------|
| **OWASP ZAP 2.17.0** | 自动化 Web 漏洞扫描器 |
| **DVWA** | 故意存在漏洞的目标应用 |
| **Kali Linux** | 安全测试环境 |
## 目标
**DVWA (Damn Vulnerable Web Application)**
本地运行于 `http://localhost/dvwa`
安全等级设置为:**Low**
扫描日期:**2026年5月12日**
## 扫描结果
**警报总数:14**
| 风险等级 | 数量 | 漏洞类型 |
|------|---|--------------|
| 🟡 中等 | 4 | 见下文 |
| 🟢 低 | 6 | 见下文 |
| ℹ️ 信息 | 4 | 见下文 |
### 🟡 中等风险
| 漏洞类型 | 含义 |
|--------------|---------------|
| 内容安全策略 (CSP) 头部未设置 | 没有 CSP 头部——浏览器无法判断应信任哪些内容来源,使得 XSS 攻击更容易进行。 |
| 目录浏览 | 服务器暴露了文件夹内容——攻击者可以看到目录中的所有文件。 |
| 缺少防点击劫持头 | 没有 `X-Frame-Options` 头——网站可被嵌入到 iframe 中进行点击劫持攻击。 |
| Cookie 未设置 SameSite 属性 | 会话 Cookie 随跨站请求发送——使 CSRF 攻击成为可能。 |
### 🟢 低风险
| 漏洞类型 | 含义 |
|--------------|---------------|
| Cookie 未设置 SameSite 属性 | Cookie 缺少 SameSite 标志 |
| 服务器泄露版本信息 | `Server` HTTP 头泄露了 Apache 版本——为攻击者提供了有关已知漏洞的信息 |
| 时间戳泄露 - Unix | 响应中泄露了 Unix 时间戳——暴露了服务器内部时间信息 |
### ℹ️ 信息
| 发现 | 含义 |
|---------|---------------|
| 现代 Web 应用 | 站点使用了现代 JS 框架 |
| User Agent Fuzzer | 响应因 user agent 而异 |
| 会话管理响应 | 响应中包含会话令牌 |
## 截图
## 操作步骤
1. 在 Kali Linux 上安装并启动 DVWA
2. 将 DVWA 安全等级设置为 Low
3. 打开 OWASP ZAP 2.17.0 → 自动扫描
4. 输入目标:`http://localhost/dvwa`
5. 点击攻击——扫描运行约 5 分钟
6. 查看跨中等/低/信息类别的 14 个警报
7. 导出完整的 HTML 报告
## 学习总结
### CSP 头部未设置
内容安全策略是一项浏览器安全功能,它告诉浏览器应信任哪些脚本、样式和图片来源。缺少它,任何注入的脚本都可以自由运行——使得 XSS 攻击更容易被利用。
**修复:** 在所有服务器响应中添加 `Content-Security-Policy` 头部。
### 目录浏览
Web 服务器被配置为在没有索引文件时显示目录内容。这使得攻击者可以浏览文件结构并发现敏感文件。
**修复:** 在 Apache 配置中禁用目录列表——`Options -Indexes`
### 缺少防点击劫持头
没有 `X-Frame-Options`,网站可以被嵌入到恶意页面中一个不可见的 iframe 里。攻击者将其覆盖在伪造的页面上,诱骗用户点击隐藏的按钮。
**修复:** 添加 `X-Frame-Options: DENY` 或 `SAMEORIGIN` 头。
### 服务器版本泄露
`Server` HTTP 响应头泄露了 `Apache/2.4.66 (Debian)`。这告诉攻击者确切的运行版本,并让他们能够查找该版本的已知 CVE。
**修复:** 在 Apache 配置中移除或混淆 Server 头。
## 关键要点
- 即使没有高严重性警报,中等风险发现也是严重且可被利用的
- 缺少安全头部是最常见且最容易修复的问题
- 目录浏览是一种错误配置,应始终禁用
- 服务器版本泄露给了攻击者一个免费的起点
## 环境
- 操作系统:Kali Linux (VirtualBox)
- 工具:OWASP ZAP 2.17.0
- 目标:DVWA (本地)
- 日期:2026 年 5 月
## 免责声明
所有测试均针对运行在我自己本地机器上的故意存在漏洞的应用程序进行。未扫描任何真实网站。
## 许可
MIT
标签:AES-256, DOE合作, DVWA, GraphQL安全矩阵, OWASP Top 10, OWASP ZAP, SQL注入检测, Web安全测试, XSS检测, 后端开发, 安全扫描器, 安全配置扫描, 实战演练, 客户端安全, 服务器配置, 漏洞报告, 漏洞评估, 网络安全, 隐私保护, 风险分析