Skip to content

theoffsecgirl/tool-webflow

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

39 Commits
LICENSE
LICENSE
 
 
README.md
README.md
 
 
requirements.txt
requirements.txt
 
 
webflow.py
webflow.py
 
 

Repository files navigation

tool-webflow

Escáner básico de vulnerabilidades web escrito en Python.

webflow realiza:

  • descubrimiento de URLs internas a partir de una URL inicial,
  • pruebas heurísticas de XSS reflejado,
  • pruebas heurísticas de inyección SQL,
  • revisión de cabeceras de seguridad HTTP.

Pensado como primer filtro ofensivo para bug bounty y pentesting, no como sustituto de un análisis manual completo.

Características

  • Crawling ligero del sitio (profundidad configurable).
  • Detección de parámetros en la query string.
  • Payloads básicos de XSS.
  • Payloads típicos de SQLi con detección por:
    • cambios de código de estado,
    • diferencias de tamaño de respuesta,
    • mensajes de error de base de datos.
  • Revisión de cabeceras de seguridad:
    • Content-Security-Policy
    • X-Frame-Options
    • X-Content-Type-Options
    • Referrer-Policy
    • Strict-Transport-Security
  • Posibilidad de desactivar XSS / SQLi / headers según necesidad.
  • Exportación de resultados a JSON.

Requisitos

  • Python 3.8 o superior
  • Librerías de Python:
pip install requests lxml termcolor tqdm

Instalación

git clone https://github.com/theoffsecgirl/tool-webflow.git
cd tool-webflow
chmod +x tool-webflow.py

Puedes renombrarlo si lo prefieres:

mv tool-webflow.py webflow.py
chmod +x webflow.py

Uso básico

Escaneo rápido

python3 tool-webflow.py -u https://example.com

Esto:

  • descubre URLs internas hasta profundidad 1,
  • prueba XSS y SQLi en aquellas que tengan parámetros,
  • revisa cabeceras de seguridad.

Cambiar profundidad de crawling

python3 tool-webflow.py -u https://example.com -d 2

Desactivar ciertos checks

# Solo cabeceras de seguridad
python3 tool-webflow.py -u https://example.com --no-xss --no-sqli

# Solo XSS
python3 tool-webflow.py -u https://example.com --no-sqli --no-headers

Exportar resultados a JSON

python3 tool-webflow.py -u https://example.com --json-output resultados_webflow.json

Interpretación de resultados

Ejemplo de detección de XSS:

[!] Posible XSS en https://example.com/search?q=... parámetro 'q' con payload '<script>alert(1)</script>'

Ejemplo de posible SQLi:

[!] Posible SQLi en https://example.com/item?id=... parámetro 'id' con payload '' OR 1=1-- - (status 500)

Cabeceras de seguridad ausentes:

[!] Cabeceras de seguridad ausentes en https://example.com: Content-Security-Policy, X-Frame-Options

Recuerda que el script utiliza heurísticas. Todo hallazgo debe ser validado manualmente.

Limitaciones

  • No realiza autenticación ni gestión avanzada de sesión.
  • No soporta formularios POST ni cuerpos complejos (solo parámetros en URL).
  • Las detecciones de XSS y SQLi son básicas y pueden producir falsos positivos o negativos.
  • No hace bypass de WAF ni payloads evasivos.

tool-webflow está diseñado como herramienta rápida para apoyar el reconocimiento ofensivo, no como un escáner completo.

Uso ético

Utiliza esta herramienta únicamente en:

  • sistemas propios,
  • laboratorios,
  • o programas de bug bounty donde tengas autorización.

El uso indebido puede ser ilegal y es responsabilidad exclusiva del usuario.

Licencia

Este proyecto está bajo licencia MIT.
Consulta el archivo LICENSE para más detalles.

Autora

Desarrollado por TheOffSecGirl

About

Escáner básico de vulnerabilidades web (XSS, SQLi, cabeceras) con crawling ligero, escrito en Python.

northstaracademy.io/

Topics

crawler xss sqli web-security pentesting recon bugbounty offensive-security security-tools python-tool

Resources

Readme

License

MIT license
Activity

Stars

13 stars

Watchers

1 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published

Languages