syedasumiyabukhari/vulnscanner-pro
GitHub: syedasumiyabukhari/vulnscanner-pro
一款具备完整认证与权限体系的生产级 Web 漏洞扫描器,提供 OWASP 标准对齐的安全检测能力。
Stars: 1 | Forks: 0
# ⬡ VulnScanner Pro
**在线演示:** https://optimistic-connection-production-c228.up.railway.app
## 概述
VulnScanner Pro 是一款生产级 Web 漏洞扫描器,具备符合 OWASP 标准的检查、完整的 JWT 认证系统、基于角色的访问控制(RBAC)、TOTP 双重认证、账户锁定、token 轮换、SSRF 防护以及完整的审计跟踪记录。
## 安全特性
| 特性 | 实现方式 |
|---|---|
| 密码哈希 | bcrypt(带盐值轮次) |
| JWT 访问 token | 15分钟过期,HS256 |
| 刷新 token | 7天过期,每次使用时轮换 |
| 2FA (TOTP) | Google Authenticator / Authy — 二维码设置 |
| 基于角色的访问 | 在每个 endpoint 上强制执行 Admin / Analyst / Viewer 权限 |
| 账户锁定 | 5次登录失败 → 锁定15分钟 |
| 审计日志 | 记录每个操作及其时间戳 + IP |
| SSRF 防护 | 阻止 localhost、私有 IP、AWS metadata endpoint |
## 漏洞检查
| 模块 | 检测内容 |
|---|---|
| HeaderScanner | 缺失 HSTS、CSP、X-Frame-Options、X-Content-Type-Options,服务器版本泄露 |
| SSLScanner | 无 HTTPS,过期证书,弱 TLS (1.0/1.1),弱加密算法 |
| AdminPanelScanner | 暴露的 /wp-admin、/phpmyadmin、/.env、/.git/config,14+ 路径 |
| CookieScanner | 缺失 Secure、HttpOnly、SameSite 标志 |
| DirectoryListingScanner | 开放的目录列表 |
## 快速开始
### Docker(单条命令)
```
git clone https://github.com/YOUR_USERNAME/vulnscanner-pro.git
cd vulnscanner-pro
cp backend/.env.example backend/.env # edit SECRET_KEY and REFRESH_SECRET
docker-compose up --build
```
### 手动(VS Code)
```
# 终端 1
cd backend && pip install -r requirements.txt
cp .env.example .env
uvicorn main:app --reload
# 终端 2
cd frontend && npm install && npm run dev
```
打开 http://localhost:3000 — 默认登录凭据:`admin / Admin@1234!`
## 运行测试
```
cd backend
pytest tests/ -v
# 21 项测试 — auth、RBAC、SSRF、token rotation、audit log
```
## 角色权限
| 功能 | Admin | Analyst | Viewer |
|---|---|---|---|
| 运行扫描 | ✓ | ✓ | ✗ |
| 查看历史 | ✓ | ✓ | ✓ |
| 删除扫描 | ✓ | ✓ | ✗ |
| 管理用户 | ✓ | ✗ | ✗ |
| 审计日志 | ✓ | ✗ | ✗ |
## 技术栈
Python 3.11 · FastAPI · aiohttp · JWT · bcrypt · TOTP · SQLite · React 18 · Vite · Docker
## 作者
**SYEDA SUMIYA BUKHARI** — 网络安全毕业生 | 安全工程师 @ Vamonos Digital
*本工具仅供授权的安全测试使用。在扫描第三方系统之前,请务必获取许可。*
标签:AV绕过, FastAPI, React, Syscalls, Web漏洞扫描, 实时处理, 密码管理, 请求拦截