issy101802-cyber/web-vulnerability-scanner
GitHub: issy101802-cyber/web-vulnerability-scanner
一款轻量级 Python CLI Web 漏洞扫描器,可检测安全头缺失、敏感文件暴露、反射型 XSS 和 SQL 注入等常见 OWASP 漏洞并导出 JSON 报告。
Stars: 0 | Forks: 0
# Web 漏洞扫描器
一款轻量级的 Python CLI 工具,用于扫描 Web 应用程序中常见的与 OWASP 相关的漏洞。本项目作为作品集构建,旨在展示对 Web 安全概念的实践理解。
## 功能特性
- **Security header 审计** — 标记缺失的 CSP、HSTS、X-Frame-Options 等。
- **敏感文件暴露检查** — 查找 `.env`、`.git/config`、备份文件等。
- **反射型 XSS 检测** — 注入 payload 并检查是否存在未转义的反射。
- **SQL 注入检测** — 发送常见的 payload 并扫描数据库(DB)错误签名。
- **JSON 报告导出**
## ⚠️ 法律声明
仅对您拥有或获得**明确书面授权**测试的系统运行此工具。未经授权的扫描可能会违反计算机滥用相关法律(例如美国的 CFAA)。本工具仅供教育和授权的安全评估目的使用。
## 安装说明
```
git clone https://github.com//web-vulnerability-scanner.git
cd web-vulnerability-scanner
pip install -r requirements.txt
```
## 使用说明
```
python web_vuln_scanner.py https://your-authorized-target.com
python web_vuln_scanner.py https://your-authorized-target.com --json report.json
```
## 示例输出
```
[+] Security Headers
- Content-Security-Policy: missing (Mitigates XSS and data injection attacks)
[+] Exposed Sensitive Files
None of the tested paths were exposed.
[+] Reflected XSS Indicators
No reflected XSS detected with tested payloads.
[+] SQL Injection Indicators
No SQL error signatures detected with tested payloads.
```
## 路线图 / 可能的扩展
- 自动爬取并测试多个表单/endpoint
- 添加 CSRF token 存在性检查
- 多线程路径暴力破解
- HTML 报告输出
## 技术栈
Python、`requests`、`argparse`
## 展示技能
HTTP 协议内部原理、OWASP Top 10 概念、安全编码意识、CLI 工具设计、负责任的漏洞披露实践。
标签:CISA项目, DOE合作, Python, Web安全, 加密, 密码管理, 无后门, 漏洞扫描器, 蓝队分析, 逆向工具