Предыстория
1 день назад я опубликовал первую статью про WebScan из Песочницы Хабра. Честно — не ожидал ничего особенного. Думал придут 50 человек, может кто-то поставит звезду на GitHub.
Вышло иначе.
За первые сутки статью прочитали 548 человек. Потом пошли 10К охват, закреплённый пост на канале с 29К подписчиков, Google AI который начал рассказывать про WebScan всем кто спрашивал про bug bounty инструменты на Python. И 12 звёзд на GitHub от людей которых я не знаю.
Это была лучшая мотивация чтобы не останавливаться.
Честно о трудностях
Я подал заявку на Cyber Verification Program от Anthropic чтобы использовать Claude без блокировок для кибербезопасности. Отказали за час. Причина — случайно нажал No на вопросе про MFA. Одна кнопка, один отказ.
Coverage был 84% — я думал 87%, оказалось это была progress bar pytest а не реальная цифра.
Nuclei на Go оказался медленнее WebScan на Python. Я сам не верил пока не провёл бенчмарк.
Имя webscan на PyPI уже занято. Пришлось переименовать в webscan-security.
Всё это решалось — просто не всё шло по плану.
Что изменилось за неделю
v1.0 → v2.0 это не просто версия. Это другой инструмент.
Плагины: 7 → 19
Добавились: XSS, Blind SQLi, Path Traversal, Open Redirect, SSRF, GraphQL интроспекция, SSL/TLS анализ, Tech Fingerprint, Subdomain Enumeration через DNS и crt.sh, CVE lookup через NVD API (350,000+ уязвимостей в реальном времени), Secrets detection (AWS, OpenAI, Anthropic, GitHub ключи в исходниках).
Crawler
WebScan теперь сам обходит цель — парсит ссылки, формы, JavaScript эндпоинты. Раньше сканировал только то что ему давали. Теперь сам находит что сканировать.
Аутентификация
Cookie, Bearer токены, Basic Auth, form-based login. Закрытые за логином страницы теперь доступны.
Три режима
Safe Mode — для владельцев сайтов. Ограничивает скорость, уважает robots.txt, честный User-Agent.
Stealth — для bug bounty. Jitter, User-Agent rotation, proxy и SOCKS5 поддержка.
CI/CD — SARIF формат, exit code 1 при CRITICAL/HIGH, готовый GitHub Actions workflow.
Качество кода
214 тестов против 165 в v1.0. Coverage поднялся с 84% до 94% — выше внутреннего стандарта Google в 80%. mypy strict, ruff clean, 39 файлов без единой ошибки типизации.
Реальный бенчмарк
Это главное что изменилось в моём понимании инструмента.
Я запустил WebScan, Nuclei и Nikto на одной цели с одинаковыми условиями: WebScan — 7.3 секунды, 28 находок, 0 false positives. Разбивка: 1 критическая, 9 высоких, 9 средних, 7 низких, 2 информационных. Nuclei 3.8.0 с 1720 шаблонами — 34.2 секунды, 21 находка. Из них 16 — просто информационный уровень. 2 unknown. Nikto 2.6.0 — 42.6 секунды, 30 находок. Из них 5+ false positives — флагировал FrontPage расширения и RFI на сервере где их нет. Без калибровки soft-404.
WebScan в 4.7x быстрее Nuclei и в 5.8x быстрее Nikto.
Честный вывод от Claude который проводил тест: "WebScan is meaningfully faster and its findings are severity-weighted and lower-noise on this target". Это не реклама — это результат одного запуска на локальной цели.
Почему Python быстрее Go в этом случае
Это вопрос который задал мой знакомый когда я показал бенчмарк. "Не может быть что питон быстрей го."
Может. Nuclei медленный не потому что Go медленный. Nuclei медленный потому что запускает 1720 шаблонов последовательно с задержками. WebScan делает всё асинхронно через aiohttp — тысячи соединений без тяжёлых потоков. Async vs multithreading — вот реальная разница. Не язык.
CVE в реальном времени
Nuclei использует статичные шаблоны — их около 9000, написанные людьми вручную. Новая CVE вышла — ждёшь пока кто-то напишет шаблон.
WebScan запрашивает NVD API в реальном времени. 350,000+ CVE. Новая уязвимость появилась в базе — WebScan её уже проверяет.
Установка
Теперь доступно через pip: pip install webscan-security
webscan -t https://example.com --safe-mode
Или из исходников
git clone https://github.com/lutzashl290788-cell/webscan
cd webscan && pip install .
Что дальше?
Claude API интеграция для умного анализа находок и снижения false positives — это следующий шаг. Когда модель анализирует контекст уязвимости а не просто матчит паттерн — качество находок вырастает принципиально.
DBIP геолокация — страна, ASN, провайдер в отчёте.
Interactsh интеграция для blind уязвимостей — SSRF и blind XSS которые не видны в ответе.
Итог:
За неделю: 7 плагинов → 19. 83% coverage → 94%. 0 звёзд → 12. Один пост из Песочницы → 10К охват.
Проект открытый, MIT лицензия. Буду рад звёздам, форкам и PR.
github.com/lutzashl290788-cell/webscan