eftha000/Web-Security-Auditor

Web安全审计框架 v12.0 一个基于Python的模块化安全审计工具，专为自动化漏洞发现和风险评估而设计。该框架采用“Soldier-Judge”架构，向Web端点投递载荷并分析服务器响应中的安全偏差。 技术能力 - **被动协议分析：** 评估HTTP响应头，识别缺失的防御配置，如内容安全策略（CSP）。 - **主动参数模糊测试：** 实现了一个庞大的重型SQL注入（SQLi）载荷数据库，旨在触发多种数据库管理系统架构（MySQL、PostgreSQL、Oracle、SQLite）的基于错误的签名。 - **DOM向量分析：** 利用BeautifulSoup解析文档对象模型（DOM），并测试HTML表单是否存在反射型跨站脚本（XSS）漏洞。 - **健壮的握手引擎：** 拥有高超时阈值和自定义User-Agent标头，确保在高延迟网络环境中连接的可靠性。 - **整合报告：** 生成双输出产物，包括人类可读的执行摘要和用于机器级集成的技术性JSON取证日志。 架构与逻辑 系统基于模块化设计模式构建，以确保可扩展性和关注点分离： - **引擎层：** 管理网络请求、会话持久性以及用于内部审计的SSL验证绕过。 - **检测逻辑：** 采用启发式签名匹配，针对预加载的数据库错误字符串和脚本反射数据库进行比对。 - **知识库：** 一个外部化数据模块（`knowledge_base.py`），将技术发现映射到实际影响和修复步骤。 - **并发：** 利用后台线程执行密集型模糊测试操作，而不会中断主用户界面。 安装与设置 前置条件 - Python 3.10 或更高版本 - 所需库： pip install requests beautifulsoup4

标签：C++17, DAST, DOE合作, DOM解析, HTTP头分析, Python, SOC工具, SQL注入检测, Web安全审计, Web漏洞, XSS检测, 代码生成, 动态应用安全测试, 参数模糊测试, 反调试, 安全报告, 安全知识库, 恶意软件分析, 无后门, 渗透测试工具, 漏洞发现, 网络安全, 逆向工具, 隐私保护