Nicconcello/Vulnerability-Scanner

GitHub: Nicconcello/Vulnerability-Scanner

一个用 Python 编写的轻量级 Web 应用漏洞扫描器,依据 OWASP 标准自动化检测服务器指纹、安全头部配置缺失及敏感文件暴露等常见安全问题。

Stars: 0 | Forks: 1

# 漏洞扫描器 一个使用 Python 编写的轻量级、模块化漏洞扫描器,用于自动化分析和 Web 应用程序的信息收集。该工具旨在根据 OWASP 标准识别安全配置错误,并检测敏感文件或目录的暴露情况。 ## 项目功能 1. **Banner Grabbing**:提取服务器指纹以映射后端技术。 2. **Security Headers Audit**:对保护客户端的推荐核心安全 header 进行启发式分析。 3. **Sensitive Directory Busting**:基于字典的针对性扫描,用于发现公开暴露的关键文件。 4. **网络弹性**:原生处理超时和网络异常,以防止线程阻塞(脚本的本地拒绝服务)。 ## 逻辑架构与结果解释 该工具通过结构化的 HTTP 请求探测目标,并通过将分析分为三个宏观阶段来剖析其响应。 ### 1. Banner Grabbing(信息收集) 程序会拦截服务器主动释放的描述性元数据。 * **`Server`**:标识核心软件(例如 `Apache`、`nginx`,或 Google 的 `gws` 等专有系统)。带有确切版本的明确输出(例如 `Apache/2.4.41`)会使网站容易受到针对公共漏洞利用数据库 (CVE) 的定向扫描。 * **`X-Powered-By`**:揭示后端框架或语言(例如 `PHP/8.1`、`ASP.NET`)。在加固的系统中,此 header 会被移除(`None`),以减小攻击者的侦察面。 ### 2. Security Headers(配置矩阵) 该工具会检查 HTTP header 中是否存在以下加密和行为防护盾: | 分析的 Header | 缺失时的相关风险 | 技术描述 | | :--- | :--- | :--- | | `X-Frame-Options` | **Clickjacking** | 防止网站在第三方域名的 `