24karan04/web-vulnerability-scanner

# 用于检测常见 Web 应用程序安全漏洞的 Web 漏洞扫描器 一个基于 Flask 的安全测试项目，用于扫描已授权网站上的常见问题： - 缺失安全标头 - 敏感路径暴露 - 目录列出 - 薄弱的表单配置 - Cookie 标志弱点 - 数据库错误信息泄露 - 反射式查询参数 ## 安全提示 仅扫描您拥有或已获得书面测试许可的网站。该应用程序默认会阻止私有、 localhost、链路本地和保留 IP 目标，以降低 SSRF 和滥用的风险。 对于本地实验室（如 DVWA 或 OWASP Juice Shop），请设置： ``` ALLOW_PRIVATE_TARGETS=true ``` 请勿在公共 Render 部署上启用私有目标。 ## 本地运行 在 Windows 上，最简单的方法是双击： ``` start_server.bat ``` 或手动运行： ``` python -m venv .venv .venv\Scripts\activate pip install -r requirements.txt python app.py ``` 打开： ``` http://127.0.0.1:5000 ``` ## 在 Render 上部署 Render 设置： - 语言：Python 3 - 构建命令：`pip install -r requirements.txt` - 启动命令：`gunicorn app:app` 可选环境变量： - `MAX_PAGES`：最大抓取页面数，默认为 `10` - `REQUEST_TIMEOUT`：HTTP 超时时间（秒），默认为 `6` - `AUTHORIZED_HOSTS`：以逗号分隔的主机白名单，例如 `example.com,test.example.com` - `ALLOW_PRIVATE_TARGETS`：在 Render 上请保持为 `false` ## 建议的测试目标 仅使用合法/已授权的目标： - 您自己的测试网站 - 本地运行的 OWASP Juice Shop - 本地运行的 DVWA - 课堂认可的漏洞实验室 ## 项目结构 ``` . ├── app.py ├── scanner.py ├── requirements.txt ├── render.yaml ├── static/ │ └── styles.css └── templates/ ├── index.html └── report.html ```

标签：Flask, Python, Web应用扫描器, 主机安全, 安全合规, 安全漏洞检测, 无后门, 白盒测试工具, 网络代理, 逆向工具