AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

Python开发Web扫描器实战

2024-08-12 91
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: Python开发Web扫描器实战

今天继续给大家介绍渗透测试相关知识,本文主要内容是Python开发Web扫描器实战。

免责声明:
本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!
再次强调:严禁对未授权设备进行渗透测试!

一、传统扫描器不足
在上文信息收集过程WAF绕过详解中,我们介绍了使用信息收集工具存在的诸多问题。使用他人的信息收集或扫描工具,存在的很大的问题即不可控。例如有些工具不支持修改指纹信息,有些工具不支持设置代理等等,要解决这一问题,最好的方法就是自己写扫描脚本。

二、Python自开发Web扫描器实战
接下来,我们就使用Python脚本,来简单的实现针对目标站点路径扫描的功能。在这里,我们需要使用Python爬虫的相关知识,如果您对此还存在困惑,欢迎您先阅读:Python爬虫详解和简单Python爬虫编写——requests包使用初体验,相信您一定会有所收获。
在了解了Python爬虫的简单知识后,我们就需要自行开发扫描脚本了。脚本内容如下所示:

import requests
import time

headers={
"Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9",
"Accept-Encoding": "gzip, deflate, br",
"Accept-Language": "zh-CN,zh;q=0.9",
"Cache-Control": "max-age=0",
"Connection": "keep-alive",
"Host": "127.0.0.1",
"Sec-Fetch-Dest": "document",
"Sec-Fetch-Mode": "navigate",
"Sec-Fetch-Site": "none",
"Sec-Fetch-User": "?1",
"Upgrade-Insecure-Requests": "1",
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36",
"sec-ch-ua": '"Not?A_Brand";v="8", "Chromium";v="108", "Google Chrome";v="108"',
"sec-ch-ua-mobile": "?0",
"sec-ch-ua-platform": "Windows"
}
with open(r"F:\基本测试工具\御剑后台扫描珍藏版\御剑后台扫描珍藏版\配置文件\PHP.txt","r",encoding="gbk") as fp:
dir_list=fp.readlines()

url="http://127.0.0.1/test.php"

response=requests.get(url=url,headers=headers)

print(response.status_code)

for dir in dir_list:
base_url = "http://127.0.0.1"
url=base_url+dir
url=url.replace('\n','')

#使用代理的写法:
#response=requests.get(url=url,headers=headers,proxies={"https":"X.X.X.X:X"})
response=requests.get(url=url,headers=headers)
#延迟写法:
#time.sleep(x)
if response.status_code <400:
    print(url,response.status_code)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
可以看出,我们使用上述代码,实现了自定义HTTP Header头、配置代理、延迟操作等等。
在上述代码中,在从文件中读取字典后,要尤其注意使用replace()函数,去除每个url最后面的换行符,否则URL请求就会出现问题。
上述代码执行结果如下所示:

这样,我们就实现了自行开发Web扫描器,而且还可以根据实际情况添加新的功能,比如如果需要更快的扫描速度,可以将上述代码转化为异步操作等等。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200
————————————————

                        版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

原文链接:https://blog.csdn.net/weixin_40228200/article/details/128596607

文章标签:
Python
数据采集
Windows
Web App开发
网络安全
关键词:
Python实战
web实战
web扫描
Python开发
Python web
GG2020gg
目录
相关文章
站大爷
|
21天前
|
数据采集 数据可视化 数据挖掘
Python数据分析实战:Pandas处理结构化数据的核心技巧
在数据驱动时代,结构化数据是分析决策的基础。Python的Pandas库凭借其高效的数据结构和丰富的功能,成为处理结构化数据的利器。本文通过真实场景和代码示例,讲解Pandas的核心操作,包括数据加载、清洗、转换、分析与性能优化,帮助你从数据中提取有价值的洞察,提升数据处理效率。
站大爷
93 3
站大爷
|
21天前
|
数据可视化 Linux iOS开发
Python脚本转EXE文件实战指南:从原理到操作全解析
本教程详解如何将Python脚本打包为EXE文件,涵盖PyInstaller、auto-py-to-exe和cx_Freeze三种工具,包含实战案例与常见问题解决方案,助你轻松发布独立运行的Python程序。
站大爷
273 2
啦啦啦191
|
7天前
|
存储 前端开发 Java
【JAVA】Java 项目实战之 Java Web 在线商城项目开发实战指南
本文介绍基于Java Web的在线商城技术方案与实现,涵盖三层架构设计、MySQL数据库建模及核心功能开发。通过Spring MVC + MyBatis + Thymeleaf实现商品展示、购物车等模块,提供完整代码示例,助力掌握Java Web项目实战技能。(238字)
啦啦啦191
84 0
魔羯座liaotianfeile
|
21天前
|
存储 监控 API
Python实战:跨平台电商数据聚合系统的技术实现
本文介绍如何通过标准化API调用协议,实现淘宝、京东、拼多多等电商平台的商品数据自动化采集、清洗与存储。内容涵盖技术架构设计、Python代码示例及高阶应用(如价格监控系统),提供可直接落地的技术方案,帮助开发者解决多平台数据同步难题。
魔羯座liaotianfeile
45 0
varin
|
8天前
|
存储 JavaScript 安全
Web渗透-XSS漏洞深入及xss-labs靶场实战
XSS(跨站脚本攻击)是常见的Web安全漏洞,通过在网页中注入恶意脚本,窃取用户信息或执行非法操作。本文介绍其原理、分类(反射型、存储型、DOM型)、测试方法及xss-labs靶场实战案例,帮助理解与防御XSS攻击。
varin
160 1
Web渗透-XSS漏洞深入及xss-labs靶场实战
站大爷
|
8天前
|
机器学习/深度学习 文字识别 Java
Python实现PDF图片OCR识别:从原理到实战的全流程解析
本文详解2025年Python实现扫描PDF文本提取的四大OCR方案(Tesseract、EasyOCR、PaddleOCR、OCRmyPDF),涵盖环境配置、图像预处理、核心识别与性能优化,结合财务票据、古籍数字化等实战场景,助力高效构建自动化文档处理系统。
站大爷
111 0
varin
|
8天前
|
安全 Linux PHP
Web渗透-命令执行漏洞-及常见靶场检测实战
命令执行漏洞(RCE)指应用程序调用系统命令时,用户可控制输入参数,导致恶意命令被拼接执行,从而危害系统安全。常见于PHP的system、exec等函数。攻击者可通过命令连接符在目标系统上执行任意命令,造成数据泄露或服务瘫痪。漏洞成因包括代码层过滤不严、第三方组件缺陷等。可通过参数过滤、最小权限运行等方式防御。本文还介绍了绕过方式、靶场测试及复现过程。
varin
94 0
sysin
|
8天前
|
安全 Linux iOS开发
Burp Suite Professional 2025.9 发布 - Web 应用安全、测试和扫描
Burp Suite Professional 2025.9 (macOS, Linux, Windows) - Web 应用安全、测试和扫描
sysin
107 0
Burp Suite Professional 2025.9 发布 - Web 应用安全、测试和扫描
游客4v3gpgavlizks
|
6天前
|
小程序 PHP 图形学
热门小游戏源码(Python+PHP)下载-微信小程序游戏源码Unity发实战指南​
本文详解如何结合Python、PHP与Unity开发并部署小游戏至微信小程序。涵盖技术选型、Pygame实战、PHP后端对接、Unity转换适配及性能优化,提供从原型到发布的完整指南,助力开发者快速上手并发布游戏。
游客4v3gpgavlizks
168 0
delacroix_xu-15509
|
8天前
|
JavaScript 前端开发 安全
【逆向】Python 调用 JS 代码实战:使用 pyexecjs 与 Node.js 无缝衔接
本文介绍了如何使用 Python 的轻量级库 `pyexecjs` 调用 JavaScript 代码,并结合 Node.js 实现完整的执行流程。内容涵盖环境搭建、基本使用、常见问题解决方案及爬虫逆向分析中的实战技巧,帮助开发者在 Python 中高效处理 JS 逻辑。
delacroix_xu-15509
92 0

热门文章

最新文章

  • 1
    Nginx:高性能Web服务器的核心引擎
  • 2
    JavaScript:构建动态Web的核心力量
  • 3
    JavaScript:无处不在的Web语言
  • 4
    Nginx:高性能Web服务器的核心引擎
  • 5
    JavaScript:驱动现代Web的核心引擎
  • 6
    web渗透-CSRF漏洞
  • 7
    Web渗透-常见的端口及对其的攻击思路
  • 8
    Burp Suite Professional 2025.9 发布 - Web 应用安全、测试和扫描
  • 9
    Web渗透信息收集进阶
  • 10
    Web渗透-XSS漏洞深入及xss-labs靶场实战
  • 1
    Python中的异常处理机制及其实践
    210
  • 2
    Linux——删除系统python导致yum无法使用
    181
  • 3
    Python数据分析:Numpy、Pandas基础
    247
  • 4
    Python爬虫开发:爬取简单的网页数据
    439
  • 5
    Python爬虫开发:BeautifulSoup、Scrapy入门
    243
  • 6
    python生成excel文件的三种方式
    343
  • 7
    百万级Python讲师又一力作!Python编程轻松进阶,豆瓣评分8.1
    97
  • 8
    用Python给代码安个进度条,太香了吧
    132
  • 9
    Python Selenium获取boss直聘招聘信息
    308
  • 10
    精心整理自学python的宝藏网站,不看亏死
    545

    • 相关课程

    更多
  • Python Web开发基础
  • Java Web开发系列课程 - Spring框架入门
  • 企业Web常用架构LAMP-LNMP实战
  • 高校精品课-西安交通大学-Web 编程技术
  • Java Web项目实战 - 图书商城
  • Java面试疑难点解析 - Java Web开发

    • 相关电子书

    更多
  • Web应用系统性能优化
  • 高性能Web架构之缓存体系
  • PWA:移动Web的现在与未来

    • 推荐镜像

    更多
  • python-release
    • 下一篇
    2025云栖大会,阿里云百炼邀请您的参与和见证