javokhir-sec/web-security-scanner

GitHub: javokhir-sec/web-security-scanner

一款一键式 Web 应用漏洞扫描器,可自动执行 20 多项安全检查并生成分级报告。

Stars: 1 | Forks: 0

# 🛡️ Web Security Scanner — 一键式 Web 应用审计

## 💡 什么是 Web Security Scanner? 一款综合性的 Web 漏洞扫描器,可针对任何 Web 应用程序运行 20 多项安全检查: ``` Target URL → Crawl → Fingerprint → Scan → Report ``` ## 🚀 快速开始 ``` git clone https://github.com/javokhir-sec/web-security-scanner.git cd web-security-scanner pip install -r requirements.txt # 完整扫描 python wsscan.py --target https://example.com --full # 快速扫描(前 10 个 vulns) python wsscan.py --target https://example.com --quick # 特定测试 python wsscan.py --target https://example.com --test xss,sqli,ssrf ``` ## 🎯 漏洞检查 | # | 检查项 | 检测方法 | |---|-------|-----------------| | 1 | 反射型 XSS | Payload 反射 + 浏览器校验 | | 2 | 存储型 XSS | 注入 + 重新检查 | | 3 | DOM 型 XSS | 对 sinks 进行 JS 分析 | | 4 | SQL 注入 | 基于错误 + 基于时间 | | 5 | SSRF | 回调服务器验证 | | 6 | 路径遍历 | 文件读取尝试 | | 7 | 开放重定向 | 参数模糊测试 | | 8 | BAC/IDOR | 用户隔离测试 | | 9 | 身份验证绕过 | 直接 endpoint 访问 | | 10 | JWT 漏洞 | 算法 + 密钥测试 | | 11 | 文件上传 | 扩展名 + content-type 绕过 | | 12 | CSRF | Token 验证检查 | | 13 | 点击劫持 | X-Frame-Options 检查 | | 14 | CORS 配置错误 | Origin 反射测试 | | 15 | 敏感文件 | .git, .env, 备份文件 | | 16 | 信息泄露 | 错误消息,堆栈跟踪 | | 17 | HTTP 安全标头 | HSTS, CSP, XSS-Protection | | 18 | TLS/SSL | 证书 + 密码套件检查 | | 19 | 服务器版本 | Banner grabbing | | 20 | SRI 检查 | Subresource integrity | ## 📊 输出 ``` 🛡️ Web Security Scanner v1.0 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Target: https://example.com Tech: PHP 7.4 · MySQL 5.7 · Apache 🔴 CRITICAL (2): → SQL Injection in /product.php?id=1 → .git directory exposed at /.git/ 🟠 HIGH (3): → Reflected XSS in /search?q= → Missing CSRF token in /admin/users → JWT accepts 'none' algorithm 🟡 MEDIUM (5): → CORS misconfiguration: * origin → Missing CSP header → Server version exposed → Backup file: /backup.zip → Clickjacking possible ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ✅ Scan complete. Report: report.html ``` ## 📜 许可证 MIT © [Javokhir Tursunboyev](https://github.com/javokhir-sec)
标签:CISA项目, Python, Web安全, 加密, 无后门, 漏洞扫描器, 蓝队分析