Give a man a gun and he can rob a bank. Give a man a bank and he can rob the world.
Предыстория
Занимаясь bug bounty, я постоянно сталкивался с одной проблемой — существующие инструменты либо устарели, либо закрытые, либо написаны так что добавить свой плагин целый квест. Nikto последний раз серьёзно обновлялся много лет назад, а современных асинхронных альтернатив на Python практически нет.
Так появился WebScan — асинхронный CLI-сканер безопасности на чистом Python с модульной архитектурой. За неделю с момента релиза проект получил внешних контрибьюторов и вырос до 15 плагинов.
Что умеет CLI-сканер
WebScan сканирует цель и проверяет 15 категорий уязвимостей одновременно. Открытые конфиги — более 50 файлов включая .env, .git/config, SSH ключи и SQL дампы. Утечки API ключей в HTML и JS коде — AWS, Anthropic, OpenAI, Stripe, GitHub. CORS мисконфиги — reflected Origin, wildcard, credentials exposure. XSS в query параметрах с классификацией контекста инъекции. SQL инъекции трёх типов — error-based, boolean-blind и time-blind. Path Traversal, Open Redirect, SSRF. Заголовки безопасности — CSP, HSTS, X-Frame-Options. SSL и TLS — слабые протоколы, просроченные сертификаты. Опасные HTTP методы — PUT, DELETE, TRACE. Cookie флаги — Secure, HttpOnly, SameSite. Tech fingerprint — CMS, фреймворки, серверы. Subdomain enumeration через DNS и crt.sh. Secrets detection — утечки ключей в исходниках.
Архитектура
Главный принцип — каждый плагин это отдельный Python класс. Написать свой плагин занимает 20-30 строк кода. Регистрируешь в ALL_PLUGINS и плагин уже доступен через флаг —plugins. Единственная runtime зависимость — aiohttp. Всё остальное стандартная библиотека Python.
Структура проекта логична — cli.py как точка входа, engine.py как асинхронный оркестратор, crawler.py как BFS spider для обхода ссылок и форм, auth.py для аутентификации, net.py для proxy и User-Agent rotation, anonymize.py для очистки отчётов, models.py для датаклассов, reporter.py для пяти форматов вывода и папка plugins где каждый файл это один плагин.
Три режима использования
Для владельцев сайтов есть Safe Mode который автоматически ограничивает скорость до двух запросов в секунду, уважает robots.txt и использует честный User-Agent. Никакой случайной перегрузки сервера.
Для bug bounty исследователей есть режим скрытности — jitter размывает автоматический почерк, User-Agent rotation обходит блокировки по имени утилиты, proxy скрывает реальный IP. Всё работает через Burp Suite, Tor или любой HTTP и SOCKS proxy.
Для CI/CD есть интеграция через exit codes — код 1 при CRITICAL или HIGH находках останавливает деплой. SARIF формат загружается напрямую в GitHub Code Scanning. Есть готовый GitHub Actions workflow.
Форматы отчетов
WebScan поддерживает пять форматов. JSON для CI/CD и скриптов. Markdown для человеческого чтения и GitHub PR. HTML как самодостаточный отчёт для стейкхолдеров. SARIF для GitHub Code Scanning и VS Code. CSV для Excel, Jira и Notion.
Чем лучше Nikto?
Nikto классика, но инструмент практически не развивается. WebScan асинхронный и в 5-10 раз быстрее на больших целях. Поддерживает пять форматов отчётов против текста и CSV у Nikto. Полноценная CI/CD интеграция с SARIF. Плагины пишутся за 20 строк. Активная разработка против почти заброшенного проекта.
Планы развития
В ближайших версиях планируется интеграция с NVD API для определения уязвимых версий через CVE базу. DBIP геолокация для показа страны, ASN и провайдера в отчёте. LLM анализ через Claude для умного снижения false positives. Публикация пакета на PyPI.
Репозиторий проекта на Гитхабе
Проект открытый, MIT лицензия, только для авторизованного тестирования.
ссылка на оригинал статьи https://habr.com/ru/articles/1047136/