oppressedturtle/webhawk

# WebHawk 🦅 一款**经授权的** Web 应用漏洞扫描器。将其指向您拥有或获准测试的站点；WebHawk 会对站点进行爬取，运行 OWASP Top 10 检测，并为您提供一份包含严重程度、证据和修复建议的清晰报告。 ## 内置的使用规范护栏 在执行任何扫描之前，您必须 (1) 确认授权，并且 (2) 通过 DNS TXT token 或托管的验证文件**证明**对目标的**控制权**。扫描范围仅限于允许列表，并进行了速率限制以保持温和，默认执行**非破坏性**检测。每次扫描都会被记录。 ## 检测项 - **被动检测** — 安全标头、cookie 标志、TLS 配置、CORS、混合内容、信息泄露、目录列出、敏感文件、技术/版本标志 - **主动检测（安全）** — 反射型 XSS、开放重定向、点击劫持、CSRF token 检测、基于布尔/错误的 SQLi 探测（不修改数据） - **报告** — CVSS 风格的严重程度、请求/响应证据、OWASP 参考、修复建议、JSON/PDF 导出、扫描差异对比 ## 技术栈 Python · FastAPI · React (Vite/TS) · Postgres · Redis + worker queue · Docker · GitHub Actions ## 状态 请参阅 [`ROADMAP.md`](./ROADMAP.md) 和 [`PROGRESS.md`](./PROGRESS.md)。 ## 许可证 MIT — 请参阅 [`LICENSE`](./LICENSE)。

标签：AV绕过, CISA项目, FastAPI, OWASP Top 10, Python, React, Syscalls, Web应用漏洞扫描, 安全测试, 搜索引擎查询, 攻击性安全, 无后门, 测试用例, 请求拦截, 逆向工具