dnavarro-tech/DigSecure

# DigSecure - 网络漏洞扫描器 基于Python的网络漏洞扫描器，审计安全头、Cookie和常见攻击向量，生成详细的Markdown修复报告。 ## 功能 - [ ] 安全头分析 - [ ] SQL注入检测 - [ ] XSS漏洞探测 - [ ] 开放目录检测 - [ ] Cookie安全审计 ## 技术栈 Python, Requests, BeautifulSoup4 ## 使用方法 python main.py --url https://example.com --output report.md ## 示例报告 ## 示例报告 **DigSecure 扫描报告** - **目标:** https://example.com - **日期:** 2026-06-01 - **发现总问题数:** 4 ### 🔴 高危 — 缺少安全头 | 头部 | 状态 | 风险 | |------|------|------| | Content-Security-Policy | ✗ 缺失 | 允许通过不受控的资源加载进行XSS攻击 | | Strict-Transport-Security | ✗ 缺失 | 站点可以通过不安全的HTTP连接访问 | | X-Frame-Options | ✗ 缺失 | 站点易受点击劫持攻击 | | Permissions-Policy | ✗ 缺失 | 浏览器功能不受控制，存在数据泄露风险 | ### 🟡 中危 — Cookie安全问题 | Cookie | 问题 | 风险 | |--------|-------|------| | session_id | 缺少HttpOnly标志 | Cookie可通过JavaScript访问，存在XSS风险 | | auth_token | 缺少Secure标志 | Cookie通过未加密的连接传输 | ### 🟢 通过 — 未发现任何问题 | 检查 | 状态 | |------|------| | X-Content-Type-Options | ✓ 存在 | | Referrer-Policy | ✓ 存在 | ### 修复方案 **Content-Security-Policy** 将以下内容添加到您的服务器响应头中： \``` Content-Security-Policy: default-src 'self'; script-src 'self' \``` **Strict-Transport-Security** \``` Strict-Transport-Security: max-age=31536000; includeSubDomains \``` **Cookie标志** 在所有会话Cookie上设置HttpOnly和Secure标志： \``` Set-Cookie: session_id=abc123; HttpOnly; Secure; SameSite=Strict \``` *由DigSecure v1.0生成 — 仅限授权测试使用* ## 免责声明 本工具仅用于授权安全测试。

标签：DOE合作, 字符串匹配, 逆向工具