这是一个面向漏洞规则管理的Web漏扫工具,用户可以自定义漏洞脚本或是集成其他的漏洞脚本来扫描漏洞。目前支持10个通用漏洞扫描的脚本, 并在皮卡丘靶机上通过了测试。支持的漏洞如下
XSS 跨站脚本注入CSRF 跨站伪造请求SSRF 服务端请求伪造暴力破解任意文件包含任意文件上传任意文件下载远程命令注入URL重定向(封装的sqlmap api,需要用户自己配置一下)敏感信息泄漏
主页面
- 扫描网站的URL设置
- 剪切板/文件导入原始的请求 (可带cookie)
- 导出扫描结果
- 启动/停止扫描
配置页面
-
漏洞规则的增删改查
-
启动/禁用某个漏洞规则
-
单页/全站扫描 即爬虫是否要递归爬取网页
-
动态/静态渲染 即爬虫爬取网页的过程中是否启用浏览器渲染页面
源代码界面
- 实时编辑源代码并保存
- resource 文件夹可上传其他大佬的程序以便封装调用,它和scripts在同一级目录
运行输出界面
- 单纯的为了方便调试自己上传的漏洞扫描脚本
关于页面
- 最初始的页面,第一次接触electron的时候,写了一个测试的页面,熟悉了一下交互逻辑,现在是作为简要的介绍
· 下载
https://github.com/LittleAlen/OriginWebScan
原文始发于微信公众号(Web安全工具库):Web漏扫工具 -- OriginWebScan(2月4日更新)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论