基于 **OWASP Top 10 2021** 的 Web 应用安全漏洞扫描器。通过自动化黑盒测试,对目标 Web 系统执行 **6 大类 26 项** 安全检测,并生成控制台及 HTML 报告。
## 功能特性
- **OWASP 对齐** — 测试用例覆盖 OWASP Top 10 2021 主要风险项
- **6 大安全类别** — 身份认证、会话管理、访问控制、输入验证、数据传输、配置管理
- **26 个自动化测试用例** — 包含 SQL 注入、XSS、命令注入、CSRF、SSRF、越权等检测
- **YAML 驱动配置** — 灵活定义目标端点、用户凭据、访问控制规则
- **双格式报告** — Rich 控制台彩色报告 + 独立 HTML 报告文件
- **认证支持** — 自动处理 JWT Bearer Token 和 Cookie 会话
- **内置 Mock 服务器** — 提供含漏洞的测试应用,用于本地验证扫描器
## 测试用例总览
### 身份认证安全 (auth)
| 用例 ID | 名称 | 严重等级 | OWASP 参考 |
|---------|------|---------|-----------|
| TC-AUTH-001 | 密码强度验证 | High | A07:2021 |
| TC-AUTH-002 | 暴力破解防护 | High | A07:2021 |
| TC-AUTH-003 | SQL 注入绕过认证 | Critical | A03:2021 |
| TC-AUTH-004 | 密码传输安全 | High | A02:2021 |
| TC-AUTH-005 | 密码重置安全 | High | A07:2021 |
| TC-AUTH-006 | 会话超时机制 | Medium | A07:2021 |
### 会话管理安全 (session)
| 用例 ID | 名称 | 严重等级 |
|---------|------|---------|
| TC-SESS-001 | 会话令牌随机性 | High |
| TC-SESS-002 | 会话固定防护 | Medium |
| TC-SESS-003 | 注销会话失效 | High |
### 访问控制安全 (access)
| 用例 ID | 名称 | 严重等级 |
|---------|------|---------|
| TC-AUTHZ-001 | 垂直越权(提权) | Critical |
| TC-AUTHZ-002 | 水平越权(IDOR) | High |
| TC-AUTHZ-003 | 未认证访问 | High |
### 输入验证安全 (input)
| 用例 ID | 名称 | 严重等级 |
|---------|------|---------|
|
## 项目结构
```
one-scan/
├── main.py # CLI 入口
├── mock_server.py # 内置含漏洞的测试服务器
├── config.example.yaml # 配置文件模板
├── config.yaml # 实际扫描配置
├── requirements.txt # Python 依赖
├── web_security_testcases.md # 测试用例详细定义文档
└── webscan/ # 核心扫描模块
├── cli.py # 命令行参数解析
├── config.py # YAML 配置加载与校验
├── http_client.py # HTTP 客户端(会话管理、认证处理)
├── models.py # 数据模型(严重等级、测试状态、扫描报告)
├── runner.py # 扫描编排调度器
├── scanners/ # 扫描器模块
│ ├── base.py # 扫描器基类(自动发现测试方法)
│ ├── auth_scanner.py # 身份认证测试 (6 项)
│ ├── session_scanner.py # 会话管理测试 (3 项)
│ ├── access_scanner.py # 访问控制测试 (3 项)
│
评论