Ejikemeilo/Web-Vulnerability-Scanner

GitHub: Ejikemeilo/Web-Vulnerability-Scanner

一款基于 Python 的 Web 反射型 XSS 漏洞扫描器，通过爬取页面、注入 payload 并逐字符分析响应编码来检测输入净化缺陷。

Stars: 0 | Forks: 0

# 反射型 XSS / 输入净化扫描器这是一个 Python 工具，用于爬取目标 Web 应用程序，发现可注入的输入点（URL 查询参数和 HTML 表单字段），注入一组 XSS 测试 payload，并分析响应以检测反射型跨站脚本攻击和薄弱的输入净化机制。作为 SYNTECXHUB 网络安全实习计划的一部分而开发。 ## ⚠️ 仅限授权使用该工具会主动向您指定的 URL 发送攻击 payload。请仅针对以下目标运行： - 您自己的系统 - 专门用于训练的漏洞靶场（DVWA、bWAPP、OWASP Juice Shop 等） - 您已获得明确书面授权进行测试的目标在大多数司法管辖区，未经授权扫描系统是非法的，包括根据尼日利亚的《网络犯罪法》、美国的《计算机欺诈和滥用法》（CFAA）以及英国的《计算机滥用法》。该脚本在扫描前会要求确认以作提醒——仅凭此确认并不等同于法律授权。 ## 工作原理扫描器分为四个阶段运行： ### 1. 爬取从基础 URL 开始，它会跟踪 HTML 中发现的 `` 链接，并保持在同一域名内（不会跳转到外部站点）。访问的页面数量达到 `--max-pages` 指定的上限后，爬取即告停止。 ### 2. 发现注入点对于爬取到的每个页面，它会识别两类可注入的输入： - **URL 查询参数** —— 例如 `/search?q=hello` 中的 `?q=hello` - **HTML 表单字段** —— 每个 `

` 内的所有 `` / `

`，以及表单的 action URL 和 HTTP 方法

### 3. 注入与测试

每次扫描运行都会生成一个随机 token，并以此构建一组 payload（这样就不会将结果与页面上已有的内容混淆）：

```
<script>alert('TOKEN')</script>

"><script>alert('TOKEN')</script>

'><script>alert('TOKEN')</script>

"onmouseover="alert('TOKEN')

<TOKENtag>
```

每个 payload 会依次发送到发现的每个参数/字段中。

### 4. 检测

扫描器会检查每个响应，以查看 payload 是否在**未经正确编码**的情况下被反射回来：

- 如果原始 payload 原样出现 → 标记为漏洞。
- 如果出现了唯一的 token，工具会查看该 payload 所依赖的特定危险字符（`<`、`>`、`"`、`'`），并检查在 token 附近，每个字符是否被转换为了 HTML 实体编码（例如 `<`、`"`、`'`）。
- 所有危险字符均被编码 → **安全**，不标记。
- 任何危险字符被原样反射 → **存在漏洞**，予以标记。
- 如果 token 完全没有出现 → 说明输入未被反射 → 安全。

这种逐字符检查至关重要：简单的“是否出现 `<script>`”启发式方法会漏掉诸如 `"onmouseover="..."` 之类的属性突破型 payload，而粗糙的“附近是否有任何字符被编码”的检查，则会在 payload 甚至根本不使用尖括号时产生误报。检查每个 payload 所依赖的特定字符可以避免这两个问题。

### 5. 报告

所有已确认的发现都将写入带有时间戳的报告中，格式同时包含纯文本和 JSON，内容包括 endpoint、参数/字段名称、确切的 payload 以及使用的完整测试 URL。

## 文件

| 文件 | 用途 |

|---|---|

| `xss_scanner.py`（您可能已将其另存为 `Web_V_Scanner.py`） | 扫描器本体 |

| `test_target.py` | 一个小型的本地 Flask 应用，包含一个故意留有漏洞的 endpoint 和一个安全转义的 endpoint，用于在将其指向像 DVWA 这样的真实靶场之前对扫描器进行端到端验证 |

## 设置

```
pip install requests beautifulsoup4 flask
```

（`flask` 仅在运行本地 `test_target.py` 验证应用时需要 —— 如果您要扫描 DVWA 或其他外部目标，则不需要。）

## 使用说明

### 针对本地测试应用进行验证

终端 1 —— 启动故意留有漏洞的练习目标：

```
python test_target.py
```

您应该会看到 `Running on http://127.0.0.1:5000`。

终端 2 —— 针对其运行扫描器：

```
python xss_scanner.py --url "http://127.0.0.1:5000/" --max-pages 10 --yes --delay 0.05
```

### 扫描 DVWA 或其他授权靶场

```
python xss_scanner.py --url "http://127.0.0.1:8080/" \

--cookie "PHPSESSID=your_session_id; security=low" \

--max-pages 20
```

除非传递 `--yes` 参数，否则系统会提示您确认已获得测试该目标的授权。

### CLI 标志

| 标志 | 描述 |

|---|---|

| `--url` | 授权目标的基础 URL（必填） |

| `--max-pages` | 要爬取的最大页面数（默认：20） |

| `--cookie` | 用于经过身份验证的扫描的 Cookie 标头，例如 DVWA 的会话和安全级别 Cookie |

| `--delay` | 请求之间的等待秒数，以避免对目标造成过大压力（默认：0.2） |

| `--yes` | 跳过交互式授权确认提示 |

## 运行示例与发现

针对包含的 `test_target.py` 运行，其中包含：

- `/search?q=` —— 将输入直接反射到页面中，**无任何转义**（有漏洞）
- `/comment` —— 通过 Flask 的 `markupsafe.escape()` 反射输入（安全）

**终端输出：**

```
[*] Starting crawl at http://127.0.0.1:5000/ (max 10 pages)

[+] Crawled: http://127.0.0.1:5000/

[+] Crawled: http://127.0.0.1:5000/search?q=hello

[*] Crawl complete: 2 pages visited

[*] Testing query-string parameters...

[VULN] http://127.0.0.1:5000/search?q=hello  param='q'  payload="<script>alert('ec880377')</script>"

[*] Testing HTML forms...

[VULN] http://127.0.0.1:5000/search  field='q'  method=GET  payload="<script>alert('ec880377')</script>"

==================================================

Scan complete. 2 potential issue(s) found across 2 page(s).

Report written to:

xss_report_20260626_232411.txt

xss_report_20260626_232411.json
```

**生成的报告（`xss_report_20260626_232411.txt`）：**

```
Reflected XSS / Input Sanitization Scan Report

==================================================

Target: http://127.0.0.1:5000/

Scanned at: 2026-06-26T23:24:11.013631

Pages crawled: 2

Vulnerabilities found: 2

[1] Type: query_param

URL: http://127.0.0.1:5000/search?q=hello

Parameter: q

Payload: <script>alert('ec880377')</script>

Test URL: http://127.0.0.1:5000/search?q=%3Cscript%3Ealert%28%27ec880377%27%29%3C%2Fscript%3E

[2] Type: form_field

URL: http://127.0.0.1:5000/search

Field: q

Method: GET

Payload: <script>alert('ec880377')</script>

Test URL: http://127.0.0.1:5000/search?q=%3Cscript%3Ealert%28%27ec880377%27%29%3C%2Fscript%3E
```

值得注意的是，扫描器通过两种不同的发现路径（原始查询参数和提交给它的表单）正确找到了同一个底层漏洞 —— 并且正确地**没有**标记 `/comment`，这证实了具备编码感知能力的检测逻辑能够避免在正确净化的输入上出现误报。

## 限制

- **仅限反射型 XSS。** 此工具不检测存储型 XSS（payload 保存到数据库中并在稍后渲染）或基于 DOM 的 XSS（漏洞完全存在于客户端 JavaScript 中，完全不接触服务器响应）。
- **启发式检测。** 编码检查涵盖了最常见的 HTML 实体形式，但可能无法捕获不寻常的编码方案或 JavaScript 上下文反射（例如在 `<script>` 块或 JSON blob 内）。
- **无 JavaScript 执行。** 扫描器检查的是原始 HTTP 响应；它不会在浏览器中渲染页面，因此无法确认 payload 是否真正*执行* —— 只能确认它是否在未转义的情况下被反射。在将其作为确认的漏洞报告之前，请务必在真实浏览器中手动验证任何标记出的发现。
- **单页应用限制。** 高度依赖 JS 渲染的页面（React、Vue 等）无法通过静态 HTML 爬虫暴露太多内容，因为内容是在初始响应之后在客户端渲染的。

## 后续步骤

- 针对真实的 DVWA 实例运行（Docker：`docker run --rm -it -p 8080:80 vulnerables/web-dvwa`）以进行更具代表性的渗透测试报告。
- 扩展检测功能，将缺失的安全标头（`Content-Security-Policy`、`X-XSS-Protection`）标记为辅助证据。
- 添加 `--report-format` 选项，用于输出 Markdown 或 HTML 报告。</div><div><strong>标签：</strong>Python, Web安全, XSS检测, 无后门, 蓝队分析, 逆向工具</div></article></div>
    
    <script>
      (function () {
        var base = (document.querySelector('base') && document.querySelector('base').getAttribute('href')) || '';
        var path = base.replace(/\/?$/, '') + '/cap-wasm/cap_wasm.min.js';
        window.CAP_CUSTOM_WASM_URL = new URL(path, window.location.href).href;
      })();
    </script>
  </body>
</html>