Nicconcello/Vulnerability-Scanner
GitHub: Nicconcello/Vulnerability-Scanner
一个用 Python 编写的轻量级 Web 应用漏洞扫描器,依据 OWASP 标准自动化检测服务器指纹、安全头部配置缺失及敏感文件暴露等常见安全问题。
Stars: 0 | Forks: 1
# 漏洞扫描器
一个使用 Python 编写的轻量级、模块化漏洞扫描器,用于自动化分析和 Web 应用程序的信息收集。该工具旨在根据 OWASP 标准识别安全配置错误,并检测敏感文件或目录的暴露情况。
## 项目功能
1. **Banner Grabbing**:提取服务器指纹以映射后端技术。
2. **Security Headers Audit**:对保护客户端的推荐核心安全 header 进行启发式分析。
3. **Sensitive Directory Busting**:基于字典的针对性扫描,用于发现公开暴露的关键文件。
4. **网络弹性**:原生处理超时和网络异常,以防止线程阻塞(脚本的本地拒绝服务)。
## 逻辑架构与结果解释
该工具通过结构化的 HTTP 请求探测目标,并通过将分析分为三个宏观阶段来剖析其响应。
### 1. Banner Grabbing(信息收集)
程序会拦截服务器主动释放的描述性元数据。
* **`Server`**:标识核心软件(例如 `Apache`、`nginx`,或 Google 的 `gws` 等专有系统)。带有确切版本的明确输出(例如 `Apache/2.4.41`)会使网站容易受到针对公共漏洞利用数据库 (CVE) 的定向扫描。
* **`X-Powered-By`**:揭示后端框架或语言(例如 `PHP/8.1`、`ASP.NET`)。在加固的系统中,此 header 会被移除(`None`),以减小攻击者的侦察面。
### 2. Security Headers(配置矩阵)
该工具会检查 HTTP header 中是否存在以下加密和行为防护盾:
| 分析的 Header | 缺失时的相关风险 | 技术描述 |
| :--- | :--- | :--- |
| `X-Frame-Options` | **Clickjacking** | 防止网站在第三方域名的 `
标签:Python, Web安全, 主机安全, 加密, 实时处理, 密码管理, 无后门, 漏洞扫描器, 网络安全审计, 蓝队分析, 逆向工具