codebytaki/webvulnscan

## 🖼️ 预览 ``` ┌─────────────────────────────────────────────────────────┐ │ 🔐 WebVulnScan — https://example.com │ │ Score: 74 / 100 ● 38 checks ● 312ms │ ├──────────┬──────────┬──────────┬──────────┐ │ │ Critical │ High │ Medium │ Low │ │ │ 0 │ 5 │ 7 │ 4 │ │ └──────────┴──────────┴──────────┴──────────┘ │ │ │ │ ✗ HIGH Missing Content-Security-Policy │ │ ✗ HIGH Missing HSTS Header │ │ ✗ HIGH Missing X-Frame-Options │ │ ✗ MEDIUM Missing X-Content-Type-Options │ │ ✗ MEDIUM robots.txt Missing │ │ ✗ MEDIUM No Rate Limiting Detected │ │ ✓ LOW SSL Certificate Valid (365 days) │ │ ✓ LOW TLS 1.3 Active │ │ ✓ LOW Compression Enabled (br) │ │ ✓ LOW CORS: Restrictive (Good) │ └─────────────────────────────────────────────────────────┘ ``` ## ⚡ 扫描内容 ## 🚀 快速开始 ``` # Clone git clone https://github.com/codebytaki/webvulnscan.git cd webvulnscan # Install npm install # Run npm start ``` 打开 **http://localhost:3000** — 粘贴任意 URL 并点击扫描即可。 ## 🖥️ API 用法 通过 REST endpoint 进行编程式扫描： ``` curl -X POST http://localhost:3000/api/scan \ -H "Content-Type: application/json" \ -d '{"url": "https://yoursite.com"}' ``` **响应结构：** ``` { "score": 74, "totalChecks": 38, "passedChecks": 22, "failedChecks": 16, "severityCounts": { "critical": 0, "high": 5, "medium": 7, "low": 4 }, "issues": [ { "passed": false, "severity": "high", "cat": "Headers", "title": "Missing Content-Security-Policy", "description": "No CSP header...", "fix": "res.setHeader('Content-Security-Policy', ...)" } ], "responseTime": 312, "pageSize": 14820 } ``` ## 💾 可选：使用 Supabase 保存历史记录 无需账号，扫描器即可完全正常使用。如需启用登录和扫描历史记录功能： 1. 在 [supabase.com](https://supabase.com) 创建一个免费项目 2. 在你的 Supabase SQL 编辑器中运行 `supabase-schema.sql` 3. 编辑 `public/supabase-client.js`： ``` const SUPABASE_URL = 'https://your-project.supabase.co'; const SUPABASE_ANON = 'your-anon-public-key'; // public key only — never service role ``` 系统已强制启用行级安全 (Row Level Security) — 用户只能查看自己的扫描记录。 ## 📁 项目结构 ``` webvulnscan/ ├── server.js ← All 150+ scan checks (Node.js / Express) ├── supabase-schema.sql ← DB schema + RLS (optional) ├── photos/ ← Screenshots for this README ├── public/ │ ├── index.html ← Landing page + inline scanner modal │ ├── scan.html ← Full-page results view │ ├── dashboard.html ← Scan history (requires Supabase) │ ├── login.html ← Auth page │ ├── app.js ← Frontend logic + result rendering │ ├── dashboard.js ← Dashboard data loader │ ├── supabase-client.js ← Configure your Supabase keys here │ └── shared.css ← Global dark theme styles └── package.json ``` ## 📐 评分机制 每项检查都会返回带有严重程度权重的 `passed: true/false` 结果： | 严重程度 | 权重 | 示例 | |:---:|:---:|:---| | 🔴 严重 | 15 | 确认存在 SQL 注入 | | 🟠 高危 | 8 | 缺失 CSP 响应头 | | 🟡 中危 | 3 | 缺失 canonical 标签 | | 🔵 低危 | 1 | 缺失 Twitter Card | `score = 100 − (total_penalty / max_possible_penalty × 100)` 完美的站点得分为 **100**。现实中的站点得分通常在 40–75 之间。 ## 🤝 添加新检查项 ``` // 1. Write your check function async function checkMyThing(urlStr, body, headers) { const r = []; // ... your logic r.push({ passed: false, severity: 'high', // critical | high | medium | low cat: 'Security', title: 'Short check name', description: 'What it means and why it matters.', fix: '// Optional code snippet' }); return r; } // 2. Add to the Promise.all in /api/scan // 3. Spread into allChecks ``` 欢迎提交 PR。 ## 🚢 部署 ``` # 任意 Node.js host (Railway, Render, Fly.io, VPS) PORT=8080 npm start # Docker one-liner docker run -p 3000:3000 -v $(pwd):/app -w /app node:18-alpine npm start ``` ## 👤 作者 由 **[MD Taki](https://github.com/codebytaki)** 打造 — 安全研究员 · AI 开发者 · 漏洞猎人 [](https://github.com/codebytaki) [](https://github.com/codebytaki/bug-hunter-toolkit) ## 📄 许可证 MIT — 可免费使用、修改、分叉和部署。

标签：CISA项目, GNU通用公共许可证, MITM代理, Node.js, SEO分析, Web安全, 性能检测, 网站扫描, 网络测绘, 自定义脚本, 蓝队分析, 请求拦截