itzlakshya-dot/Vulnerability-Scanner-Dashboard

# 校园漏洞扫描器与侦察仪表盘 一个自动化的防御性**漏洞评估与渗透测试（VAPT）**工具套件，作为**计算机科学与技术专业第四学期迷你项目**构建。该安全工具采用解耦架构，运行多线程传输层扫描和实时应用层安全头审计，同时采用严格的防御性编码标准。 ## 🛠️ 系统架构与框架拓扑 该工具被拆分为一个模块化、解耦的框架，设计为可独立扩展，无需依赖大量互联网依赖的库封装： ``` +-----------------------------------------------------------------------+ | Frontend UI Layer (index.html) | +-----------------------------------------------------------------------+ | ^ | 1. Encoded AJAX API Request | 6. Render Evaluated JSON v | (Threat Charts & Grids) +-----------------------------------------------------------------------+ | Secure Server Middleware (server.py) | +-----------------------------------------------------------------------+ | ^ | 2. Input Sanitization Filter | 5. Synchronous Process Hold v | Reads Final Output Disk +-----------------------------------------------------------------------+ | VAPT Core Scanner Subsystem (scanner.py) | +-----------------------------------------------------------------------+ | +---> [Parallel Sockets Pool] ---> TCP Handshake Engine (Ports 21, 22, 80, 443) +---> [HTTP Header Scraper] ---> Active Verification of OWASP Defensive Headers +---> [OS Native Sub-Pipes] ---> DNS MX/NS Recon & Passive Subdomain Enumeration ``` ## 🔥 核心工程特性 ### 1. 多线程并发传输层扫描（`scanner.py`） 标准扫描工具由于网络连接超时会经历严重的线性延迟下降。该引擎利用 Python 内置的 `concurrent.futures.ThreadPoolExecutor` 实例化并行工作线程。所有端口（21、22、80、443）使用底层 `socket.connect_ex()` 操作同时检查，在毫秒内完成完整的 TCP 三次握手并收集 Banner，而非秒级。 ### 2. 防御性验证入口控制（`server.py``） 为防止框架本身成为命令注入攻击的载体，在 API 路由层直接集成了严格的防御性正则表达式净化掩码（`^[a-zA-Z0-9.\-:/#]+$`）。恶意字符串、系统控制标志或空白配置在触及子进程执行管道之前，立即被拦截并返回 HTTP 400 Bad Request 错误。 ### 3. 原生应用层头分析 扫描器对 Web 端点执行有针对性的、未经验证的 SSL 上下文 HTTP 请求。它根据标准安全策略检查服务器合规性： * **HTTP Strict Transport Security（HSTS）** 存在性 * **Content Security Policy（CSP）** 白名单规则 * **X-Content-Type-Options** 跨源嗅探防护 * **Referrer-Policy** 数据泄露控制 ### 4. 零依赖威胁可视化图表 仪表盘不使用在离线实验室演示答辩环境中会失效的重型、联网前端报告引擎，而是原生渲染颜色编码的风险分布指标。实时计数通过内联 JavaScript 单次遍历计数器循环进行统计，并使用纯 CSS Flexbox 宽度比例绘制。 ### 5. 无缝打印优化层 包含自定义打印样式表（`@media print`），将浏览器窗口重新样式化为适合打印的执行级文档，具有干净的布局、自定义边框和白色资源容器，专为干净的 PDF 生成而设计。 ## 📁 仓库目录蓝图 ``` ├── README.md <- Repository Core Overview & Quickstart Guide ├── index.html <- Role-Based Dashboard UI with CSS-Flex Data Visualization Bars ├── server.py <- Secure Web Server HTTP Gateway with Input Regex Sanitizers ├── scanner.py <- Concurrent Sockets Worker and Web Header Scanning Subsystem ├── styles.css <- Central Theme Framework featuring Executive Web-to-PDF Print Layouts └── engines/ ├── __init__.py <- Python Package Initialization Component ├── dns_recon.py <- Native Subprocess OS Pipe Handling for nslookup MX/NS Probes └── whois_recon.py <- Raw Socket Port 43 Handshaker for Regional WHOIS Registries ``` ## ⚡ 快速部署流程 ### 前置条件 * 原生安装 Python 3.11+。 * 操作系统：兼容 Windows、Linux 或 macOS。 * 无需额外的外部依赖（可安全跳过 `pip` 命令）。 ### 1. 克隆工作空间 ``` git clone https://github.com/yourusername/campus-vapt-scanner.git cd campus-vapt-scanner ``` ### 2. 启动安全 HTTP 中间件网关 ``` python server.py ``` *预期控制台反馈日志：* ``` [+] Framework Interface Online. Navigate to http://127.0.0.1:8000 in your browser to start testing. ``` ### 3. 系统访问授权 1. 打开 Web 浏览器并导航至：`http://127.0.0.1:8000` 2. 使用安全机构凭据通过守门人面板进行身份验证： * **机构电子邮件 ID：** `Lakshya.0241BTCS028@dgu.ac.in` * **守门人令牌密码：** `DGU_Cyber_2026` ## 📊 客观风险扣分矩阵 合规指数等级依赖于自动化的数学风险扣分模块（`calculate_security_grade()`），确保客观评估排名： * **初始基准节点评分：** `100` 分。 * **发现高风险缺陷**（例如，明文未加密 FTP 边界）：`-25` 分。 * **发现中风险缺陷**（例如，开放 HTTP 端口 80 或缺少 CSP 令牌）：`-10` 分。 * **发现低风险缺陷**（例如，缺少 MIME 嗅探或缺少 HSTS 头）：`-3` 分。 ### 等级分布区间 * **90 – 100：** `A` 🟩（加固边界） * **75 – 89：** `B` 🟦（合规 - 轻微差距） * **60 – 74：** `C` 🟨（警告 - 策略差距） * **低于 60：** `F` 🟥（发现严重暴露） ## 📜 学术归属与参考文献 * **大学作业：** 计算机科学与技术（网络安全）— 第四学期迷你项目。 * **课程映射：** 网络安全与漏洞评估及渗透测试（VAPT）。 * **机构中心：** DBS Global University（DGU）。 * **核心蓝图：** 根据 OWASP Top 10 漏洞标准和标准 TCP 传输工程定义合规开发。

标签：AES-256, AJAX, B.Tech项目, C++17, CSE, CSP, Golang, HTTP头分析, IP 地址批量处理, JSON API, PB级数据处理, Python, Socket编程, TCP端口扫描, VAPT, Web安全, XML 请求, 互联网扫描, 传输层扫描, 前后端分离, 加密, 反取证, 可视化仪表盘, 后渗透, 多模态安全, 多线程扫描, 多语言支持, 威胁图表, 安全专家, 安全中间件, 安全事件, 安全产品, 安全协议, 安全发布, 安全响应, 安全团队, 安全培训, 安全备份, 安全存储, 安全工具链, 安全工程, 安全开发, 安全恢复, 安全意识, 安全扫描, 安全报告, 安全指南, 安全数据库, 安全数据结构, 安全文化, 安全文档, 安全日志, 安全更新, 安全最佳实践, 安全服务, 安全标准, 安全模型, 安全测试, 安全测试专家, 安全测试事件, 安全测试产品, 安全测试发布, 安全测试响应, 安全测试团队, 安全测试培训, 安全测试备份, 安全测试存储, 安全测试工具链, 安全测试平台, 安全测试恢复, 安全测试意识, 安全测试数据库, 安全测试数据结构, 安全测试文化, 安全测试文档, 安全测试日志, 安全测试更新, 安全测试服务, 安全测试框架, 安全测试漏洞, 安全测试版本, 安全测试算法, 安全测试管理, 安全测试系统, 安全测试编程, 安全测试网络, 安全测试自动化, 安全测试补丁, 安全测试解决方案, 安全测试计算, 安全测试部署, 安全测试配置, 安全测试集成, 安全测试顾问, 安全漏洞, 安全版本, 安全策略, 安全算法, 安全管理, 安全系统, 安全编码, 安全编程, 安全网格, 安全网络, 安全补丁, 安全解决方案, 安全计算, 安全评估, 安全运维, 安全部署, 安全配置, 安全集成, 安全顾问, 密码管理, 应用层安全头审计, 提示词设计, 插件系统, 操作系统检测, 攻击性安全, 教育项目, 数据可视化, 无后门, 无外部依赖, 无线安全, 时序注入, 模块化设计, 毕业设计, 漏洞扫描器, 漏洞评估, 独立扩展, 端口21, 端口22, 端口443, 端口80, 系统架构, 网络安全, 网络安全审计, 自动化修复, 蓝队分析, 输入过滤, 逆向工具, 防御性编程, 防御绕过, 隐私保护