【python】打造一款自动扫描全网漏洞的扫描器

最新推荐文章于 2024-08-02 10:45:27 发布
置顶 最新推荐文章于 2024-08-02 10:45:27 发布
阅读量2.3w 收藏 83
点赞数 12
分类专栏: Python 原创作品 文章标签: python 扫描器 漏洞扫描 漏洞挖掘 自动化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzy98/article/details/80078764
版权

这是一款和刘老师一起写的网安类别扫描器。基本原理是由Python+Mysql搭建的扫描器,实现自动无限永久爬行采集网站链接,自动化漏洞扫描检测。目的是挂机就能实现自动化发掘敏感情报,亦或是发现网站的漏洞或者隐藏可利用的漏洞。
    早在17年11月份的时候就有这个想法,可是一直没有去做,后来快到除夕前几天才正式开始整个软件工程的设计。当时的想实现的功能比较简单,就是能做到无限采集到网站使用的CMS,比如www。xx。com使用的是DEDECMS,那么我就把www。xx。com|dedecms这样的数据存到数据库里面,如果下次dedecms爆出新的漏洞后,我能在第一时间内发现哪些网站存在这个漏洞。那么这个软件工程的核心功能就必须满足以下的需求。

  1. 能无限爬行采集互联网上存活的网址链接
  1. 能对采集到的链接进行扫描验证
  2. Mysql数据库和服务器的负载均衡处理

    当然如果只是只检测CMS类型然后保存到数据库肯定是不够的,这样简单的功能并没有多大的优势,于是我选择了加入下列漏洞的扫描验证。

  1. 添加备份文件扫描功能
  1. 添加SVN/GIT/源码泄漏扫描功能,其中包括webinfo信息扫描
  2. 添加编辑器漏洞扫描功能
  3. 添加SQL注入漏洞的自动检测功能
  4. 添加使用Struts2框架的网站验证功能(居心叵测)
  5. 添加xss扫描检测功能(暂未实现)
  6. 添加扫描网站IP并且扫描危险端口功能
  7. 添加外链解析漏洞检测功能(暂未实现)
  8. 暂时想不到别的了,如果你有好的建议请联系我~

结果展示

    如图展示的都是扫描到的备份文件,敏感信息泄漏,注入,cms类型识别,st2框架,端口开放等等,挂机刷洞,基本上只要漏洞报告写得详细一点,勤快多写点,都可以通过审核,刷洞小意思,刷排名之类的都不在话下。





st2

用户交互模式

    需要使用Mysql数据库就无法避免数据库配置问题,首先是存储软件采集到的漏洞信息的数据库,我可以自己写一张数据库的结构的语句,然后让用户自己执行这份SQL文件,创建好这个数据库。

    其次就是数据库的连接问题,关于数据库的地址,帐号,密码等,因为每个人的环境都可能不一样,所以这一步肯定要有交互过程,那么填写数据库配置信息是直接运行软件后让用户输入数据库帐号密码还是新建一个配置文件呢?我选择了后者,新建了一个config.ini,里面不仅仅是填写数据库配置信息,还有这个软件的核心使用功能,比如说你只想无限采集网站和扫描备份文件,那么你可以在这个文件里面做好配置工作。

    为了避免每个人爬行到的数据重复,我的想法是首先让用户采集一些网址作为初始网址,然后基于这些网址开始无限爬行。如果是第一次

最低0.47元/天 解锁文章
浪子燕青啦啦啦
关注
  • 12
    点赞
  • 83
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 51
    评论
专栏目录
python实现的漏洞扫描
06-05
漏洞扫描器分为端口扫描模块、SSH弱口令扫描模块及OS识别模块。 使用Python语言编程实现。 有CMD执行和图形界面执行两种操作方式。 用户输入目标设备的IP地址及扫描的端口号范围,根据需要选择要扫描的内容,系统依次进行扫描并最终将扫描结果汇总展现给用户。
使用Python打造基本WEB漏洞扫描器(一) 网站爬虫+SQL注入检测
热门推荐
Wang Gangdan的博客
03-07 1万+
一、实验介绍 扫描器需要实现功能的思维导图: 1.1 实验内容 编写一个简单的多线程爬虫,用于对网站地址进行爬取,编写一个简单的sql注入工具,用于对网站地址进行sql注入的检测。 1.2 实验知识点 多线程的使用 网站爬虫的基本知识 SQL注入的基本原理 SQL检测工具编写,多参数URL的sql注入检测 正则表达式的基本知识 1.3 实验环境 Python 2.7 Win10 PyCha...
基于Python漏洞扫描检测系统计
最新发布
weixin_45769113的博客
08-02 783
由于基于Django漏洞扫描检测平台是由本人独立开发,因此在系统设计和业务逻辑方面更多地借鉴了目前市场上较为流行的框架和技术点,包括技术,很多是不熟悉没接触过的,在开发过程中不断学习新知识。另外由于本人的时间和精力的原因,在系统开发过程中有很多地方可能并不能够完全尽如人意,还有许多需要补充的功能与模块。漏洞扫描系统是在对相关管理范畴进行详细调研后,确定了系统涉及的领域,包括数据库设计、界面设计等,是一个具有实际应用意义的管理系统。根据本毕业设计要求,经过四个多月的设计与开发,漏洞扫描系统基本开发完毕。
【计算机毕设之基于python漏洞扫描检测系统精简版-哔哩哔哩】 https://b23.tv/w6ryWlY
laoman456的博客
11-05 3581
漏洞泛滥的今天,互联网安全倍受挑战。只有合理配置设备,关掉不必要口和服务,及时了解最新安全动态,打好漏洞补丁加固系统,才能最大限度的减少因漏洞隐患而造成被黑客非法入侵而造成的不必要损失。主要解决内容如下:(1)收集最近几年的国内外因漏洞引起的重大安全事件,分析漏洞对系统乃至现实生活的危害,对项目的侧重方向做出一个初步方向指定。(2)以中小型网络运维人员和网络安全研究爱好者为主,结合国内该行业的变化特点,以“易部署、轻量化、低学习成本、可扩展”为特点尝试设计与开发工作。设计包含基础的用户模块、日志问题
扫描器篇(二)之python编写sql注入漏洞探测器
weixin_44344395的博客
03-24 4732
sql注入介绍 什么是sql注入 用户输入内容拼接到sql语句中,并执行 Sql注入危害 榨取数据 执行系统命令 向数据库插入代码 绕过验证登录 工具参数获取 工具思路 验证sql注入是否存在 基于错误base_error You have an error in SQL syntax; 获取测试url,对指定参数进行模糊测试FUZZ 工具参数设置 测试...
python扫描_[Python] 文件扫描
weixin_35002851的博客
02-10 751
importosimporttimeclassFileObject:"""文件对象"""def __init__(self, filePath):"""创建FileObject对象:param filePath: 文件路径"""self.__tree_file_objects =Noneself.__scan_depth =Noneself.__exists =Falseself.__file_p...
Python代码扫描:企业级代码代码安全漏洞扫描Bandit
SteveRocket's-Blog
09-13 1673
我们可以根据报告中的建议来修复代码中的安全问题,以提高代码的质量和可靠性。在软件开发过程中,存在许多潜在的安全漏洞,为了及时发现和修复这些漏洞,我们需要使用专业的安全扫描工具,Bandit可以帮助我们检查代码中的潜在安全风险,如代码注入、XSS攻击、SQL注入和敏感信息泄露等。Bandit默认也不需要配置,如果我们需要根据自己的项目实际需求做一些配置,则可以通过一个名为bandit.yaml的配置文件,可以在项目根目录下创建该文件,并指定需要检查的规则和其他配置选项。打开首选项,然后导航到工具>外部工具。
Python脚本实现Web漏洞扫描工具
09-21
### Python脚本实现Web漏洞扫描工具 #### 一、项目背景与目的 本文介绍的是一个由作者在毕业设计阶段开发的Web漏洞扫描工具。该工具主要用于检测常见的Web应用安全漏洞,如SQL注入漏洞、SQL盲注漏洞以及跨站脚本...
基于Python的Struts2漏洞扫描设计源码
05-22
Struts2漏洞扫描设计源码:该项目基于Python开发,包含21个文件,主要使用Python语言。该设计源码是一个Struts2漏洞扫描器,旨在帮助开发者检测和修复Struts2框架中的安全漏洞,提高Web应用的安全性。
基于Python的Struts2安全漏洞扫描工具设计源码
04-09
Struts2安全漏洞扫描工具 - 基于Python开发,包含21个文件,如WAR、GITIGNORE、LICENSE、MD、PY、TXT和JSP等。该项目为用户提供了一个Struts2安全漏洞扫描工具,通过界面交互和功能模块,为用户提供了一个高效、易用...
使用Python脚本实现Web漏洞扫描
07-19
### 使用Python脚本实现Web漏洞扫描的关键知识点 #### 一、背景介绍 随着互联网技术的飞速发展,网络安全成为了一个不容忽视的问题。Web应用程序作为互联网服务的重要组成部分,其安全性直接影响到用户的数据安全和...
ARP主机扫描工具——Python脚本
06-03
简单的ARP主机扫描工具,通过ARP协议配合Python中的socket模块,对某个局域网内的主机进行简单扫描,并输出存活的主机
[网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池(四)
bylfsj的博客
02-05 1588
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Pyt...
网站备份目录扫描常用jio本(python
qq_46635165的博客
10-10 654
import requests # 扫描地址 url1 = "需要扫描的网址" # 常见网站源码备份文件名 dir1 = ['web','website','backup','back','www','wwwroot','temp'] # 常见网站源码备份文件后缀 final2 = ['tar','tar.gz','zip','rar','bak'] # 开始扫描 for i in dir1 : for j in final2 : # 拼接备份文件名 file
python实现网站目录扫描
weixin_42350229的博客
01-20 1177
python实现网站目录扫描 大致流程确定如下: Created with Raphaël 2.2.0程序开始打印banner信息打印使用方法接收传递过来的参数判断参数是否接收完整(是或否?)打印错误信息直接退出程序没有接收完整yesno 根据流程图确定使用getopt,sys模块来接受参数,并进行处理, threading模块来处理多线程, requests模块来执行扫描功能, math线程的向...
python漏洞扫描器编写,用Python编写Web漏洞检测工具
weixin_42520374的博客
03-26 3040
作为单位的网络安全管理员,经常会遇到这样的情况,某些漏洞在互联网上被批露后,在用的扫描工具却无法及时集成。遇到这种情况,领导会说:“自己想办法,抓紧检测是否有这个漏洞。”很多人会告诉你可以用自行编写Poc这个方法,指的就是根据漏洞的简单原理写出对应的漏洞检测代码,用来验证漏洞是否存在。那么如何编写Poc呢?可能你会把它想象的无比困难。Python的出现,极大简化了Poc的编写过程,我们不需要再把时...
python编写简单漏洞扫描器(通过实别服务版本号)
qq_43200143的博客
02-11 2789
源于《python绝技:运用python成为顶级黑客》 代码: import socket import os import sys def retBanner(ip, port): try: socket.setdefaulttimeout(2) s = socket.socket() s.connect((ip,port)) banner = s.recv(1024) return banner ..
python制作扫描器
qq_23347209的博客
07-06 1419
python作为一个轻量级编程语言,本系列主要是用来记录使用python作为安全工具的过程提示:以下是本篇文章正文内容,下面案例可供参考。
使用Python打造基本WEB漏洞扫描器(三) 基于爬虫开发XSS检测插件
Wang Gangdan的博客
03-11 9829
一、实验说明 1.1 实验内容 本节会基于上节开发的插件框架,讲解xss漏洞形成的原理,据此编写一个简单的XSS检测插件,先上效果图。 1.2 实验知识点 XSS基础知识 XSS检测原理 1.3 实验环境 Python 2.7 win10 PyCharm 二、开发准备 xss攻击原理 什么是XSS? 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Casca...
评论 51
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

浪子燕青啦啦啦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值