渗透测试安全(Penetration Testing + Safe):在渗透测试和网络安全领域,“Pen”可能代表“Penetration”(渗透测试),而“Safe”表示安全的意思。PenSafe(渗透测试安全扫描器),能用上此工具说明测试系统很安全!!!
- 检测常见的HTTP响应头漏洞(如
Set-Cookie、X-XSS-Protection等)。 - 检查
robots.txt文件中是否包含敏感路径。 - 信息泄露检测(如
X-Powered-By、Server头部)。 - 支持多种方式获取要扫描的URL:直接传入URL,或从文件中读取URL。
- 根据HTTP状态码输出不同的颜色标识,便于快速识别问题。
确保你已经安装了Go环境,使用以下命令编译代码:
go build -o PenSafe.exe main.go
PenSafe.exe -h
PenSafe.exe -u http://example.com
文件格式:每行一个URL,例如 urls.txt:
http://example.com
https://another-site.com
扫描命令:
PenSafe.exe -t urls.txt
工具会扫描每个URL,执行以下操作:
- 获取并显示HTTP响应头。
- 检查HTTP响应头中是否存在常见的安全漏洞(如
Set-Cookie、X-XSS-Protection等)。 - 检查
robots.txt文件中是否包含敏感路径(如/admin、/config等)。 - 检查是否泄露信息(如
X-Powered-By、Server头部)。
- 绿色:表示无问题或成功检测。
- 红色:表示发现漏洞或问题。
- 黄色:表示可能的警告或重定向。
- 紫色:表示服务器错误。
例如:
[*] GET method Headers Response: 200
X-Frame-Options : SAMEORIGIN
Content-Security-Policy : default-src 'self'
Set-Cookie : sessionid=abcd1234; Secure; HttpOnly
X-XSS-Protection : 1; mode=block
X-Content-Type-Options : nosniff
------------------------------------------------------------
如果在robots.txt文件中找到敏感路径,则会显示类似:
[+] (robots.txt) 敏感路径发现: /admin
如果工具无法访问URL,或者获取响应头失败,将会输出类似:
[!] 获取Headers失败: 连接超时
- Go 1.18+ 版本。
- 网络访问权限。
- 扫描工具执行时可能对目标网站造成一定的负担,请确保你有合法权限进行扫描。
- 该工具适用于渗透测试、漏洞扫描等目的,但不用于恶意攻击。