文章总结： 该文档介绍一款整合型漏洞扫描工具，集成了WebDAST、SAST和SCA扫描能力。工具包含7个内置扫描器和9个外部工具集成，支持GUI/CLI双界面、跨平台运行、中英文双语界面，具备漏洞自动去重、多格式报告生成等功能。文档提供了工具获取方式及详细使用指南，适用于安全检测场景。 综合评分： 85 文章分类： 安全工具,漏洞分析,WEB安全,安全运营,渗透测试

16个漏洞扫描器整合工具 | Web DAST、代码 SAST 和 SCA 能力集成一体

bbyybb bbyybb

夜组安全

2026年4月7日 08:01 青海

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！所有工具安全性自测！！！VX：NightCTI

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把夜组安全“设为星标”，否则可能就看不到了啦！

工具介绍

一款整合型漏洞扫描工具，将 Web DAST、代码 SAST 和 SCA 能力集成于统一界面中。

功能特性

• 7 个内置扫描器 — 安全头检查（含 CSP 值检查、Cookie 安全属性）、SSL/TLS（证书 + SAN 域名匹配）、敏感路径探测（~130 条）、信息泄露检测（内部 IP/Email 泄露）、端口扫描（61 端口 + Banner）、源码漏洞分析（10 类模式）、依赖 CVE 检查（10 种格式）
• 9 个外部工具集成 — Nuclei（全模板类型）、Nmap（TCP+UDP 双扫描）、SQLMap（level=5/risk=3 + WAF 绕过）、Nikto（全部 13 类检查）、ffuf（路径×扩展名×递归）、Bandit、Semgrep（4 个规则集）、Trivy（漏洞+密钥+配置错误）、Grype
• 自定义 HTTP 选项 — 请求头、Cookies、POST 数据、请求方法；支持粘贴浏览器 curl 命令自动填充
• CLI 和 GUI 双界面 — 终端命令行或图形窗口，随意选择
• HTML + JSON 报告生成 — 丰富的 HTML 报告和机器可读的 JSON 报告
• 漏洞自动去重 — 多个扫描器发现的相同漏洞自动合并，减少报告噪声
• 调试日志输出 — --log-file 参数将详细扫描日志写入文件，方便排查问题
• Cyber 深邃/明亮主题 — GUI 支持Cyber 深邃（GitHub Dark 风格）和明亮主题切换
• 一键安装外部工具 — GUI 中不可用工具旁显示”安装”和”浏览”按钮；支持 .exe/.py/.pl/.jar/.ps1 脚本；自定义路径保存到 ~/.vulnscan/tool_paths.json
• 跨平台支持 — Windows / macOS / Linux
• 中英文双语 — 自动检测系统语言或手动切换

图形界面 (GUI)

启动图形界面：

python main.py gui
# 或直接运行（无参数默认启动 GUI）
python main.py

GUI 提供以下功能：

• 目标 URL/路径输入
• 扫描器选择（可单独开关各扫描器）
• 实时扫描进度显示
• 漏洞结果表格，支持按严重级别筛选
• 一键生成 HTML/JSON 报告
• 扫描器状态概览
• 中英文语言切换

内置扫描器

| 扫描器 | 类型 | 目标 | 说明 | | — | — | — | — | | HeaderScanner | DAST | URL | HTTP 安全响应头检查 | | SSLScanner | 基础设施 | URL | SSL/TLS 证书和协议检查 | | DirectoryScanner | DAST | URL | 敏感路径和文件暴露检测 | | InfoLeakScanner | DAST | URL | 服务器信息泄露检测 | | PortScanner | 基础设施 | URL | TCP 端口扫描，含 Banner 抓取 | | FileAnalyzer | SAST | 文件 | 源代码漏洞模式匹配 | | DependencyScanner | SCA | 文件 | 依赖组件漏洞检查（通过 OSV API） |

外部工具扫描器

以下扫描器需要单独安装外部工具。

| 扫描器 | 类型 | 目标 | 说明 | 安装命令 | | — | — | — | — | — | | Nuclei | DAST | URL | 基于模板的漏洞扫描器 | go install github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest | | Nmap | 基础设施 | URL | 网络端口和服务扫描器 | 从 https://nmap.org/download.html 下载 | | SQLMap | DAST | URL | SQL 注入检测工具 | pip install sqlmap | | Nikto | DAST | URL | Web 服务器漏洞扫描器 | sudo apt install nikto (Linux)、brew install nikto (macOS) | | ffuf | DAST | URL | Web 模糊测试与路径发现 | 从 https://github.com/ffuf/ffuf/releases 下载 | | Bandit | SAST | 文件 | Python 安全代码检查工具 | pip install bandit | | Semgrep | SAST | 文件 | 多语言静态代码分析 | pip install semgrep | | Trivy | SCA | 文件 | 文件系统漏洞扫描器 | 从 https://github.com/aquasecurity/trivy/releases 下载 | | Grype | SCA | 文件 | 依赖组件漏洞扫描器 | brew install grype (macOS)、从 https://github.com/anchore/grype/releases 下载 |

使用 python main.py status 查看哪些外部工具已安装且可用。

工具获取

点击关注下方名片进入公众号

回复关键字【260407】获取下载链接

往期精彩

[一体化GUI工具 |  FOFA 资产测绘爬取与 Nuclei 漏洞扫描

2026-04-03

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496594&idx=1&sn=8913f8a550feaed73bfef048d5f9d3b3&scene=21#wechatredirect)[免杀｜个自动patch shellcode到二进制文件的工具

2026-04-02

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496586&idx=1&sn=18a60bca44e77131dc364e495f98c2ac&scene=21#wechatredirect)[浏览器插件 | 指纹识别、DOM XSS 检测、漏洞报告生成、一键 PoC 复现、AI 误报研判

2026-03-31

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496581&idx=1&sn=1577de9295dd182769d749c38cf0b644&scene=21#wechatredirect)[Linux 主机安全巡检与应急响应工具 | 高质量证据采集、结构化报告，面向被黑应急和常规安全检测两大场景

2026-03-30

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496575&idx=1&sn=643bb5aa90f2730fc6c29124dc663d6a&scene=21#wechatredirect)[Apifox 供应链攻击应急响应工具

2026-03-27

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496570&idx=1&sn=e272cffe86eb2114068c209939100376&scene=21#wechatredirect)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜组安全 bbyybb bbyybb《16个漏洞扫描器整合工具 | Web DAST、代码 SAST 和 SCA 能力集成一体》