TechByDami/web-vulnerability-scanner

# Web 漏洞扫描器 一个基于 Python 的**反射型 XSS 检测工具**，专为授权安全测试 环境打造 — 适用于 DVWA、OWASP Juice Shop、本地存在漏洞的 应用程序以及您自己的测试服务器。 ## 功能简介 1. **爬取**目标站点（仅限同域），支持可配置的深度。 2. **发现**输入点：URL 查询参数和 HTML 表单字段。 3. **注入**安全的 XSS 测试标记 payload（无实际利用行为）到每个 输入点。 4. **分析** HTTP 响应，以确定输入是否在未经适当净化的情况下被反射。 5. **报告**扫描结果为 JSON 或 CSV 格式，按严重程度（High / Medium / Low）分类，并附带完整的活动日志。 ### 各模块工作原理 - **`config.py`** — 默认配置（深度、线程、 延迟、超时）、XSS payload 列表、危险字符列表以及 启动警告横幅的唯一事实来源。 - **`crawler.py`** — 一个广度优先爬虫（`Crawler` 类）， 从种子 URL 开始，保持在同一主机内，并在每个页面上： - 提取每个 `` 链接（仅限同域），如果在深度限制内，则将其加入队列。 - 从 URL 自身的查询字符串中提取 GET 参数。 - 解析页面上的每个 `

`，记录其 action URL、方法 （GET/POST）以及每个命名的 ``/`` 字段。 - 返回一个 `InputPoint` 对象列表 — 每个对象都是一个准备好进行测试的 (URL, method, parameter) 组合。 - **`xss_detector.py`** — `XSSDetector` 类接收一个 `InputPoint` 并 对它运行 `config.XSS_PAYLOADS` 中的每个 payload： - 对于 GET，payload 会替换查询字符串中参数的值。 - 对于 POST，payload 会替换表单数据字典中字段的值 （其他字段保留其默认值以模拟真实的提交）。 - 然后检查响应体是否存在三种反射模式： - **High** — payload 原封不动地出现 → 完全没有净化。 - **Medium** — 出现部分标记（`<script`、`onerror=`、`onload=` 等） → 过滤不完整或不一致。 - **Low** — 原始危险字符（`<`、`>`、`"`、`'`、`&`） 被未经转义地反射，即使没有完全匹配 payload 也是如此。 - 绝不会执行任何 JavaScript — 检测纯粹基于文本/被动进行。 - **`analyzer.py`** — 获取原始的 `Finding` 列表并： - 对共享相同 (endpoint, parameter, payload) 的发现进行去重， 保留严重程度最高的版本。 - 添加人类可读的诊断 `notes`，解释*为什么*每个发现被 归类为相应的严重程度（例如：属性上下文注入、`<script>` 上下文、双重编码不一致）。 - 生成一个 `summary` 字典：按严重程度统计、最容易受到攻击的 endpoint、 唯一的 parameter/endpoint 计数。 - **`reporter.py`** — 将扫描发现和摘要序列化为 JSON 或 CSV （根据 `--output` 扩展名自动检测）并打印带颜色的 终端摘要。 - **`scanner.py`** — CLI 入口点。解析参数，设置日志记录 （控制台 + `logs/scanner.log`），打印授权横幅，然后按顺序运行 四个阶段：crawl → detect（通过 `ThreadPoolExecutor` 多线程执行） → analyze → report。 ## 安装说明 需要 **Python 3.10+**（使用 `X | None` 类型提示）。 ``` cd web-vulnerability-scanner pip install -r requirements.txt ``` 依赖项：`requests`、`beautifulsoup4`、`lxml`（可选，更快的解析器）。 ## 用法 ``` python scanner.py --url http://localhost/dvwa --depth 3 --threads 5 --output report.json ``` ### CLI 选项 | 标志 | 描述 | 默认值 | |--------------|-----------------------------------------------|---------------| | `--url` | 目标 URL（必填） | — | | `--depth` | 最大爬取深度 | `3` | | `--threads` | 用于检测的并发工作线程数 | `5` | | `--delay` | 请求之间的延迟（秒） | `1.0` | | `--output` | 报告文件名（`.json` 或 `.csv`） | `report.json` | | `--verbose` | 启用 DEBUG 级别的控制台日志记录 | off | 输出： - `reports/<output>` — JSON 或 CSV 漏洞报告 - `logs/scanner.log` — 完整活动日志（始终为 DEBUG 级别，无论控制台详细程度如何） ## 结合 DVWA 进行测试 [DVWA](https://github.com/digininja/DVWA) (Damn Vulnerable Web Application) 是试用此扫描器时推荐的目标。 1. **设置 DVWA**（使用 Docker 最简单）： docker run --rm -p 80:80 vulnerables/web-dvwa 2. 在 `http://localhost` **登录**（默认凭据：`admin` / `password`），并在首次运行时点击 **Create / Reset Database**。 3. 在 *DVWA Security* 下将 **DVWA 安全级别设置为 "low"**（这样反射型 XSS 就不会被过滤 — 这让您可以验证扫描器是否能发现它）。 4. 针对反射型 XSS 页面**运行扫描器**，例如： python scanner.py --url "http://localhost/vulnerabilities/xss_r/" --depth 1 --threads 3 5. **尝试将安全级别提高到 "high"** 并重新扫描 — 您应该会看到 发现消失或降级为 Low，因为 DVWA 在该级别会对 输入进行编码。 您同样可以将其指向 **OWASP Juice Shop**（`docker run -p 3000:3000 bkimminich/juice-shop`）或任何带有故意暴露漏洞的搜索/评论字段的本地 Flask/Express 测试应用程序。 ## 示例输出 控制台： ``` ══════════════════════════════════════════════════════════════════ SCAN SUMMARY – Target: http://localhost/vulnerabilities/xss_r/ ══════════════════════════════════════════════════════════════════ Total findings : 3 High : 2 Low : 1 Unique endpoints: 1 Unique params : 1 ══════════════════════════════════════════════════════════════════ [High] GET http://localhost/vulnerabilities/xss_r/?name=... param='name' Payload : <script>alert("XSS_TEST")</script> Evidence : Hello <script>alert("XSS_TEST")</script> [High] GET http://localhost/vulnerabilities/xss_r/?name=... param='name' Payload : "><svg/onload=alert("XSS_TEST")> Evidence : Hello "><svg/onload=alert("XSS_TEST")> ══════════════════════════════════════════════════════════════════ Report saved → reports/report.json Log saved → logs/scanner.log ``` `reports/report.json`（节选）： ``` { "meta": { "generated_at": "2026-06-21T10:42:18+00:00", "target": "http://localhost/vulnerabilities/xss_r/", "tool": "WebVulnScanner 1.0" }, "summary": { "total_findings": 3, "by_severity": { "High": 2, "Low": 1 }, "unique_endpoints": 1, "unique_parameters": 1 }, "findings": [ { "target": "http://localhost/vulnerabilities/xss_r/", "vulnerability": "Reflected XSS", "severity": "High", "endpoint": "http://localhost/vulnerabilities/xss_r/?name=test", "parameter": "name", "method": "GET", "payload": "<script>alert(\"XSS_TEST\")</script>", "evidence": "Hello <script>alert(\"XSS_TEST\")</script>", "notes": [ "Payload reflected verbatim. The application does NOT encode or filter the input..." ] } ] } ``` ## 运行测试套件 ``` pip install pytest pytest test_scanner.py -v ``` 测试套件会启动一个轻量级的模拟 HTTP 服务器（基于 Python 的 标准库构建，无需外部目标），该服务器模拟： - 一个存在漏洞的 endpoint（原封不动地反射输入） - 一个安全的 endpoint（对输入进行 HTML 编码） - 一个部分过滤的 endpoint（去除 `<script>` 但未去除其他攻击向量） - 一个表单页面和一个 POST endpoint 它涵盖了爬虫、检测器、分析器、报告器以及一个完整的端到端 流水线运行 — 总计 21 项测试。 ## 安全与道德要求 此工具在构建时遵循以下硬性限制： - **无自动化利用。** 它仅进行检测和报告；绝不试图 将发现的漏洞武器化（不窃取 cookie、不进行会话劫持、除了检测标记外不进行 payload 链式攻击）。 - **无身份验证绕过。** 扫描器不会尝试猜测 凭据、绕过登录表单或提升权限。 - **仅限同域。** 爬虫拒绝跟踪指向外部 主机的链接，因此单次调用不会意外扩散到第三方 站点。 - **设计上支持限速。** 可配置的 `--delay` 和 `--threads` 可以 控制请求量，并防止对目标造成意外的拒绝服务攻击。 - **启动警告。** 每次运行都会打印一条横幅，提醒操作员 仅限用于授权目标。 ### 道德与法律免责声明 此软件仅供**教育和授权安全测试 用途**。使用此工具即表示您同意： - 您将仅扫描您拥有或获得明确书面 授权进行测试的系统。 - 您理解未经授权访问计算机系统是非法的，这违反了诸如美国《计算机欺诈和滥用法》(CFAA)、英国 《计算机滥用法》以及其他司法管辖区 同等法律的规定。 - 作者和贡献者对因使用此工具而引起的任何滥用、 损坏或法律后果不承担任何责任。 **如有疑问，请勿扫描。请先获得书面许可。**</div><div><strong>标签：</strong>CISA项目, Python, Web安全, XSS检测, 加密, 安全规则引擎, 无后门, 漏洞扫描器, 蓝队分析, 逆向工具</div></article></div> <!-- 人机验证 --> <script> (function () { var base = (document.querySelector('base') && document.querySelector('base').getAttribute('href')) || ''; var path = base.replace(/\/?$/, '') + '/cap-wasm/cap_wasm.min.js'; window.CAP_CUSTOM_WASM_URL = new URL(path, window.location.href).href; })(); </script> </body> </html>