NishantMishra-Dev/Web-Vulnerability-Scanner

GitHub: NishantMishra-Dev/Web-Vulnerability-Scanner

一款采用前后端分离架构的全栈 Web 漏洞扫描器,通过自动化 DOM 解析与 payload 注入实现反射型 XSS 漏洞的检测与可视化展示。

Stars: 0 | Forks: 0

# 🛡️ 全栈 Web 漏洞扫描器 (DAST 引擎) 一款先进、全栈的**动态应用安全测试 (DAST)** 工具,旨在自动化 Web 应用程序中跨站脚本攻击 (XSS) 漏洞的发现与分析。它采用解耦的现代微架构,结合了高性能的 **Python/FastAPI** 分析引擎和深色主题的 **React.js (Vite)** 安全管理仪表盘。 image ## 🚀 核心功能 * **自动化 DOM 解析:** 使用 `BeautifulSoup4` 动态获取目标 URL 结构,并提取所有隐藏和可见的 HTTP 表单、输入框、action 和 method 类型。 * **模拟 Payload 注入:** 使用非破坏性的 XSS 测试签名(``)对输入点进行武器化处理,以评估客户端的威胁执行情况。 * **实时遥测仪表盘:** 专门的网络安全 UI,显示实时系统指标、已扫描的 endpoint 日志以及分类的目标漏洞状态。 * **异步 API 网关:** 采用纯粹的异步循环设计构建,具有自定义 CORS middleware 集成,可执行低延迟的跨域数据通信。 ## 💻 技术栈 * **前端仪表盘:** React.js、Vite、Vanilla CSS3(自定义赛博朋克深色主题) * **后端核心引擎:** Python 3.x、FastAPI、Uvicorn (ASGI Web 服务器) * **Web 分析流水线:** Python Requests、BeautifulSoup4 (HTML 解析层) ## ⚙️ 架构工作流 1. **客户端请求:** 用户从 React 仪表盘触发包含目标 URL 的扫描请求。 2. **动态 DOM 提取:** FastAPI 后端向目标发出 HTTP GET 请求,解析出输入结构。 3. **Payload 模拟:** 扫描器使用 XSS 向量 payload 填充字段,并执行标准的表单提交操作。 4. **反射式验证:** 检查响应字符串。如果 payload 在未经适当编码或净化的情况下原样反射回来,它会将该 endpoint 标记为**易受攻击 (CRITICAL)**,并将实时数据流式传输回 UI。 ## 🛠️ 安装与本地设置 ### 前置条件清单 * 确保已安装 **Python 3.8+**。 * 确保您的终端路径中已配置 **Node.js (v16+)** 和 `npm`。 ### 1. 后端设置 导航至包含 `main.py` 的根目录: ``` # 安装 backend 依赖(如果尚未完成) pip install fastapi uvicorn beautifulsoup4 requests # 使用 Uvicorn 启动 FastAPI 引擎 python main.py ```
标签:AV绕过, DAST, FastAPI, React, Syscalls, Web安全, XSS扫描器, 恶意软件分析, 自定义脚本, 蓝队分析, 逆向工具