NishantMishra-Dev/Web-Vulnerability-Scanner
GitHub: NishantMishra-Dev/Web-Vulnerability-Scanner
一款采用前后端分离架构的全栈 Web 漏洞扫描器,通过自动化 DOM 解析与 payload 注入实现反射型 XSS 漏洞的检测与可视化展示。
Stars: 0 | Forks: 0
# 🛡️ 全栈 Web 漏洞扫描器 (DAST 引擎)
一款先进、全栈的**动态应用安全测试 (DAST)** 工具,旨在自动化 Web 应用程序中跨站脚本攻击 (XSS) 漏洞的发现与分析。它采用解耦的现代微架构,结合了高性能的 **Python/FastAPI** 分析引擎和深色主题的 **React.js (Vite)** 安全管理仪表盘。
## 🚀 核心功能
* **自动化 DOM 解析:** 使用 `BeautifulSoup4` 动态获取目标 URL 结构,并提取所有隐藏和可见的 HTTP 表单、输入框、action 和 method 类型。
* **模拟 Payload 注入:** 使用非破坏性的 XSS 测试签名(``)对输入点进行武器化处理,以评估客户端的威胁执行情况。
* **实时遥测仪表盘:** 专门的网络安全 UI,显示实时系统指标、已扫描的 endpoint 日志以及分类的目标漏洞状态。
* **异步 API 网关:** 采用纯粹的异步循环设计构建,具有自定义 CORS middleware 集成,可执行低延迟的跨域数据通信。
## 💻 技术栈
* **前端仪表盘:** React.js、Vite、Vanilla CSS3(自定义赛博朋克深色主题)
* **后端核心引擎:** Python 3.x、FastAPI、Uvicorn (ASGI Web 服务器)
* **Web 分析流水线:** Python Requests、BeautifulSoup4 (HTML 解析层)
## ⚙️ 架构工作流
1. **客户端请求:** 用户从 React 仪表盘触发包含目标 URL 的扫描请求。
2. **动态 DOM 提取:** FastAPI 后端向目标发出 HTTP GET 请求,解析出输入结构。
3. **Payload 模拟:** 扫描器使用 XSS 向量 payload 填充字段,并执行标准的表单提交操作。
4. **反射式验证:** 检查响应字符串。如果 payload 在未经适当编码或净化的情况下原样反射回来,它会将该 endpoint 标记为**易受攻击 (CRITICAL)**,并将实时数据流式传输回 UI。
## 🛠️ 安装与本地设置
### 前置条件清单
* 确保已安装 **Python 3.8+**。
* 确保您的终端路径中已配置 **Node.js (v16+)** 和 `npm`。
### 1. 后端设置
导航至包含 `main.py` 的根目录:
```
# 安装 backend 依赖(如果尚未完成)
pip install fastapi uvicorn beautifulsoup4 requests
# 使用 Uvicorn 启动 FastAPI 引擎
python main.py
```
标签:AV绕过, DAST, FastAPI, React, Syscalls, Web安全, XSS扫描器, 恶意软件分析, 自定义脚本, 蓝队分析, 逆向工具