marchana302005-cell/WebScan-Project

### **项目名称** Web 应用程序漏洞扫描器 ### **目标** 使用 Python 构建一个扫描器，以检测常见的 Web 应用程序漏洞，如 **XSS、SQL 注入和 CSRF**。 ### **工具与技术** - **Python** - 核心编程语言 - **Requests** - 发送 HTTP 请求，用于爬取 + 表单提交 - **BeautifulSoup** - 解析 HTML 以查找链接、表单和输入字段 - **Regex `re`** - 模式匹配，用于检测 XSS/SQLi 攻击是否成功 - **Flask** - 在 `127.0.0.1:5000` 提供基于浏览器 UI 的 Web 框架 - **OWASP Top 10** - 漏洞类型和 payload 的参考标准 ### *📁 项目结构* vuln_scanner/ ├── app.py # Flask Web 服务器 ├── crawler.py # 查找链接 + 表单 ├── scanner.py # Regex 检测逻辑 ├── payloads.py # XSS + SQLi 测试 payload ├── templates/ │ └── index.html # Web UI └── test.html # 漏洞测试页面 ### *我构建的内容：* 组件 | 状态 | 功能说明 **crawler.py** | 爬取 HTML 文件，查找所有链接 + 表单 **payloads.py** | 存储 XSS + SQLi 测试 payload **scanner.py** | Regex 引擎检测 XSS/SQLi 模式 **app.py + http://index.html** | 用于浏览器扫描的 Flask Web UI ### **📋 功能** 1. **自动爬取**：查找目标 URL 上的所有链接和输入表单 2. **Payload 注入**：在每个表单上测试 XSS + SQLi payload 3. **Regex 检测**：识别响应中的攻击成功模式 4. **严重程度级别**：将 SQLi 分类为 `CRITICAL`，XSS 分类为 `HIGH` 5. **Web UI**：无需命令行 - 直接通过浏览器扫描 6. **报告导出**：下载包含时间戳 + 完整详情的 `report.html` ### **实现与结果** | 步骤| 实现方式 | 结果 | **a. 爬取** | 使用 requests 和 BeautifulSoup 爬取输入字段和 URL | `crawler.py` 解析所有带有输入的 `` 链接和 `

` 标签 | `Found 3 links` + `Inputs: ['q'] ['username','password']` ✅ **b. 注入** | 注入 XSS、SQLi 等 payload，并分析响应 | `payloads.py` 存储 8 个测试 payload：` [MEDIUM] CSRF: No CSRF token found ### **交付物** 1. **基于 Python 的扫描器**：4 个模块 → `crawler.py`, `payloads.py`, `scanner.py`, `app.py` 2. **Web 界面**：带有 URL 输入、扫描按钮和结果显示的 Flask 应用 3. **详细报告**：自动生成的 `report.html`，包含时间戳、目标 URL、表单详情、漏洞类型、严重程度级别以及使用的具体 payload 4. **演示证明**：在测试页面上显示 `[DANGER] 8 vulnerabilities found` 的屏幕截图。