mamyan2001-gif/webmask

GitHub: mamyan2001-gif/webmask

mamyan2001-gif/webmask - 一款基于 React UI 的网页漏洞扫描器

Stars: 2 | Forks: 0

# 网页屏蔽 ![Node](https://img.shields.io/badge/Node-18+-339933) ![React](https://img.shields.io/badge/React-19-61DAFB) ![License](https://img.shields.io/badge/License-MIT-green) **网站漏洞扫描器** — 43+ 检查模块，多页面爬虫，Nuclei 风格模板，OpenAPI 模糊测试，以及来自 React 管理面板的主动注入探测。 ## 截图 | 仪表板 | 扫描设置 | |--------|------------| | ![WebMask 仪表板](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/8c9eb6a5b6093726.png) | ![WebMask 扫描配置](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/f500cdcca7093727.png) | ## 功能 - **43+ 安全检查** — TLS、头部、CORS、cookies、路径、Nikto 类单词列表、API/GraphQL、DNS、XSS 反射、WebDAV、CRLF、侦察、CVE 提示等 - **扫描配置文件** — 快速（被动）、标准、和深度（爬虫 + 主动探测） - **实时扫描日志** — 流式传输 NDJSON 进度，每个模块计时 - **发现分类** — 标记发现为开放、确认、误报或接受的风险 - **扫描比较** — 比较两个扫描以发现回归 - **认证扫描** — cookies、Bearer/API 密钥、Playwright 登录流程、多角色比较 - **OpenAPI 导入** — 从规范中模糊测试 REST 端点 - **OAST 回调** — 通过回调 URL 盲目检测 SSRF / 离线检测 - **导出** — HTML 和 CSV 报告下载 - **SSRF 保护** — 在任何出站请求之前阻止私有/内部目标 - **无数据库** — JSON 文件 + 磁盘上的扫描报告 ## 快速开始 | 平台 | 步骤 | |------|--------| | **macOS** | 双击 `Install WebMask.command`，然后 `Start WebMask.command` | | **Windows** | 双击 `Install WebMask.bat`，然后 `Start WebMask.bat` | | **终端** | `npm run setup` 然后 `npm run start:app` | 浏览器将在 **http://localhost:5173** 打开。完整说明：**[docs/SETUP.md](docs/SETUP.md)** ``` git clone https://github.com/mamyan2001-gif/webmask.git cd webmask npm run setup npm run start:app ``` ## 使用方法 1. **仪表板** — 创建目标，查看统计数据和最近的活动 2. **扫描** — 输入 URL，选择配置文件，可选配置认证 / 范围 / OpenAPI，运行扫描 3. **发现** — 查看严重性、证据、修复、分类状态，并导出 ## 文档 | 文档 | 描述 | |-----|-------------| | [docs/SETUP.md](docs/SETUP.md) | 安装、配置文件、故障排除 | | [docs/DEV.md](docs/DEV.md) | 开发和添加扫描检查 | | [docs/GITHUB.md](docs/GITHUB.md) | 推送到 GitHub、CI、仓库清单 | ## API（精选） | 方法 | 路径 | 描述 | |--------|------|-------------| | GET | `/api/health` | 健康检查 | | GET | `/api/dashboard` | 统计和入门 | | GET | `/api/checks` | 列出扫描模块 | | GET | `/api/profiles` | 扫描配置文件定义 | | GET/POST | `/api/sites` | 列出 / 创建目标 | | POST | `/api/sites/:id/scan` | 运行扫描（NDJSON 流，`stream: true`） | | GET | `/api/sites/:id/scans/:scanId` | 完整报告 | | GET | `/api/sites/:id/scans/diff` | 比较两个扫描 | | GET/PATCH | `/api/sites/:id/scans/:scanId/triage` | 发现分类 | | POST | `/api/sites/:id/auth/test` | 测试 Playwright 登录配置文件 | | POST | `/api/sites/:id/openapi` | 保存 OpenAPI 规范 | | GET/PATCH | `/api/settings` | Webhooks、OAST URL | | GET/POST/DELETE | `/api/schedules` | 计划扫描 | ## 项目布局 ``` webmask/ ├── client/ React admin UI (Vite) ├── server/ Express API + job runner ├── scanner/ Scan engine │ ├── checks/ Security check modules │ ├── crawler/ BFS spider + Playwright spider │ ├── engine/ Template runner │ ├── nuclei/ Bundled YAML templates │ ├── openapi/ OpenAPI import + fuzzer │ └── wordlists/ Path databases ├── scripts/ install.sh, start.sh ├── docs/ Setup, dev, GitHub guides ├── reports/ Scan output (gitignored) ├── Install WebMask.* One-click installers └── Start WebMask.* One-click launchers ``` ## 开发 ``` npm run install:all npm run dev:server # :4000 npm run dev:client # :5173 ``` ## 生产 ``` npm run build npm start # serves built UI + API on :4000 ``` ## 许可证 [MIT](LICENSE)

标签：API安全, CORS, CRLF, CVE, DNS, ETW劫持, GNU通用公共许可证, Google, GPT, GraphQL, JSON输出, MITM代理, Nikto, Node.js, Nuclei, OAST, OpenAPI, React, SSRF, Syscalls, TLS, URL发现, WebDAV, XSS, 反取证, 安全检测, 安全测试, 安全评估, 安全防护, 差异比较, 扫描报告, 扫描配置, 攻击性安全, 数字签名, 文件存储, 日志记录, 漏洞情报, 漏洞管理, 网站安全扫描, 自定义脚本, 认证扫描, 进度跟踪, 防御工具, 风险接受