Sistem keamanan siber terpadu untuk mendeteksi kerentanan web dengan fitur canggih: SCA (Software Composition Analysis), AI-Powered Analysis, Subdomain Enumeration, Compliance Checking (OWASP/PCI-DSS/GDPR), Attack Path Visualization, dashboard web real-time, antrean Celery, dan integrasi Telegram.
Alat ini HANYA untuk tujuan edukasi dan pengujian keamanan pada sistem yang Anda miliki sendiri atau memiliki izin tertulis dari pemiliknya.
- Penggunaan tanpa izin adalah ILEGAL dan dapat dikenai sanksi pidana.
- Penulis tidak bertanggung jawab atas penyalahgunaan alat ini.
- Selalu patuhi hukum yang berlaku (UU ITE di Indonesia, CFAA di AS, Computer Misuse Act di UK, dll).
- Deteksi Kerentanan: SQL Injection, XSS, Directory Traversal, Open Redirect, SSRF
- Security Headers: Missing HSTS, CSP, X-Frame-Options, dll.
- File Sensitif: Deteksi .env, .git/config, backup files
- Crawler Otomatis: Menemukan halaman dan form secara rekursif
- Deteksi library/framework usang dari
package.json,requirements.txt - Pencocokan dengan database CVE
- Rekomendasi versi aman
- Validasi temuan dengan AI untuk mengurangi false positive
- Confidence score dan analisis konteks otomatis
- Integrasi dengan OpenAI API (opsional)
- Penemuan subdomain otomatis via DNS & Certificate Transparency
- Asset mapping hierarkis
- Deteksi subdomain takeover
- OWASP Top 10 2021: Kontrol keamanan aplikasi web
- PCI-DSS v4.0: Kepatuhan industri pembayaran
- GDPR: Perlindungan data pribadi
- Skor kepatuhan otomatis Pass/Fail
- Grafik interaktif alur serangan potensial
- Menghubungkan kerentanan kecil ke kritis
- Visualisasi eskalasi privilege
- Skor CVSS Otomatis (0.0 - 10.0)
- Panduan Eksploitasi: Contoh payload spesifik
- Remediasi Detail: Contoh kode perbaikan (Python, PHP, Node.js, Java)
- Referensi: Link ke OWASP, CWE, NVD
- UI modern dengan grafik statistik
- Manajemen tugas scan (Pending, Running, Completed)
- Asset Map: Visualisasi subdomain dan aset
- Tren Keamanan: Grafik historis kerentanan
- False Positive Management: Tandai dan filter temuan
- Celery Worker: Proses scan di background
- Redis Broker: Manajemen antrean cepat
- Mode Scan: Safe (minimal impact) vs Deep (agresif)
- Rate limiting otomatis
- Kontrol penuh via chat (start scan, status, download report)
- Notifikasi otomatis saat selesai
- Whitelist ID untuk keamanan
- Pencatatan lengkap aktivitas pengguna
- Jejak audit: siapa, kapan, target apa
- Monitoring perubahan file & konten
- Generator skrip PoC otomatis (Python/cURL)
- Download script verifikasi
- Tombol "Verify" untuk testing manual
- Python 3.8+
- Redis Server (untuk Celery)
- Node.js (opsional, untuk beberapa fitur frontend)
- wkhtmltopdf (opsional, untuk export PDF)
- Akses internet (untuk AI dan CVE lookup)
cd /workspace
python3 -m venv venv
source venv/bin/activate # Windows: venv\Scripts\activatepip install -r requirements.txt
playwright install # Install browser untuk headless scanningEdit file config.py atau buat .env:
# Telegram Bot
TELEGRAM_BOT_TOKEN=your_bot_token_here
ALLOWED_USERS=8392806634,1234567890 # ID Telegram yang diizinkan
# AI Configuration (Opsional)
AI_ENABLED=True
AI_API_KEY=sk-your-openai-api-key
AI_MODEL_NAME=gpt-3.5-turbo
AI_API_BASE_URL=https://api.openai.com/v1
# Redis
REDIS_URL=redis://localhost:6379/0
# Database
DATABASE_URL=sqlite:///scanner.db
# Security
SECRET_KEY=your-random-secret-key-change-in-production
WHITELIST_ONLY=True
SAFE_MODE_DEFAULT=True
# Compliance
COMPLIANCE_STANDARDS=OWASP_TOP_10,PCI_DSS,GDPRLinux/Mac:
sudo apt-get install redis-server # Debian/Ubuntu
brew install redis # macOS
redis-server --daemonize yesWindows: Download dari https://github.com/microsoftarchive/redis/releases
Jalankan dalam 4 terminal terpisah:
redis-server
# Atau jika sudah running sebagai service:
sudo systemctl start redissource venv/bin/activate
celery -A tasks.celery_app worker --loglevel=info --pool=solosource venv/bin/activate
export FLASK_APP=app.py
export FLASK_ENV=production
python app.pysource venv/bin/activate
python telegram_bot.pyBuka browser dan akses:
http://localhost:5000
Login:
- Masukkan Telegram ID Anda (harus ada di
ALLOWED_USERS) - Username opsional untuk tampilan
Fitur Dashboard:
- New Scan: Input URL, pilih mode (Safe/Deep), compliance standard, enable AI
- Asset Map: Lihat semua subdomain yang ditemukan
- History & Trends: Grafik tren kerentanan dari waktu ke waktu
- Reports: Download laporan HTML/JSON/PDF
- Settings: Kelola whitelist user dan konfigurasi
- Chat dengan
@BotFatherdi Telegram - Kirim
/newbot - Ikuti instruksi, simpan token
- Chat dengan
@userinfobot - Bot akan reply dengan ID Anda (contoh:
8392806634) - Tambahkan ID ke
ALLOWED_USERSdiconfig.py
/start - Mulai bot dan lihat menu
/scan [URL] - Jalankan scan (contoh: /scan https://example.com)
/status - Cek status scan terakhir
/report - Download laporan scan
/help - Lihat bantuan lengkap
/settings - Atur preferensi scan
Saat scan, sistem otomatis:
- Deteksi
package.jsonβ cek versi npm packages - Deteksi
requirements.txtβ cek versi Python packages - Cocokkan dengan database CVE internal
- Tampilkan versi rentan vs versi aman
Output Example:
Type: Outdated Dependency
Package: lodash@4.17.15
CVE: CVE-2021-23337
Severity: HIGH (CVSS 7.5)
Recommendation: Upgrade to >=4.17.21
Aktifkan dengan:
- Centang "Enable AI Analysis" di dashboard
- Atau set
AI_ENABLED=Truedan isiAI_API_KEY
AI akan memberikan:
- Confidence score (0-1)
- False positive likelihood
- Konteks temuan
- Prioritas remediasi
Centang "Discover Subdomains" saat scan:
- DNS brute-force (common subdomains)
- Certificate Transparency logs
- DNS record lookup
Hasil ditampilkan di Asset Map dengan hierarki:
example.com
βββ www.example.com
βββ api.example.com
βββ dev.example.com
βββ admin.example.com
Pilih standard saat scan:
- OWASP Top 10: Fokus pada kerentanan aplikasi web umum
- PCI-DSS: Untuk sistem pembayaran (kartu kredit)
- GDPR: Untuk perlindungan data pribadi EU
Dashboard menampilkan:
- Controls yang Pass/Fail
- Skor kepatuhan (%)
- Detail temuan per control
Setelah scan selesai:
- Buka detail vulnerability
- Tab "Attack Path" menampilkan grafik
- Node = vulnerability, Edge = hubungan eskalasi
Contoh alur:
Missing Header (LOW) β XSS (MEDIUM) β Session Hijack (HIGH) β Data Breach (CRITICAL)
Di dashboard:
- Buka detail vulnerability
- Klik "Mark as False Positive"
- Tambahkan alasan (opsional)
- Temuan akan di-filter di scan berikutnya
Untuk setiap vulnerability:
- Tab "Simulation" berisi script Python/cURL
- Copy-paste atau download
- Jalankan untuk verifikasi manual
Example PoC:
# SQL Injection PoC
import requests
url = "https://target.com/search"
params = {'q': "' OR '1'='1"}
response = requests.get(url, params=params)
print("[+] SQL Injection confirmed!" if 'error' in response.text else "[-]")/workspace
βββ app.py # Flask web dashboard
βββ tasks.py # Celery tasks untuk scanning
βββ telegram_bot.py # Bot Telegram
βββ config.py # Konfigurasi utama
βββ requirements.txt # Dependensi Python
βββ scanner.db # Database SQLite
βββ scanner.log # Log file
βββ modules/
β βββ scanner.py # Core scanning engine
βββ templates/
β βββ dashboard.html # UI dashboard
β βββ login.html # Halaman login
β βββ scan_detail.html # Detail hasil scan
β βββ asset_map.html # Peta aset subdomain
βββ static/
βββ css/style.css # Styling
βββ js/main.js # Frontend logic
1. Login gagal "Not Authorized"
- Pastikan Telegram ID ada di
ALLOWED_USERS - Restart Flask app setelah edit config
2. Celery worker tidak jalan
- Pastikan Redis running:
redis-cli pingβ harus replyPONG - Cek log Celery untuk error
3. Scan timeout
- Increase
MAX_SCAN_TIMEOUTdiconfig.py - Gunakan Safe Mode untuk website besar
4. AI tidak berfungsi
- Cek
AI_API_KEYvalid - Pastikan
AI_ENABLED=True - Cek koneksi internet
5. Subdomain tidak ketemu
- Beberapa domain memblok DNS lookup
- Coba manual dengan tools seperti
sublist3r
Gunakan DVWA (Damn Vulnerable Web App) untuk testing:
docker run --rm -it -p 8080:80 vulnerables/web-dvwaScan target: http://localhost:8080
- Integrasi CI/CD (GitHub Actions, GitLab CI)
- Export laporan PDF/SARIF
- Plugin scanner eksternal (Nuclei, Nikto)
- User management & RBAC
- Dark web monitoring integration
- Auto-ticket creation (Jira, GitHub Issues)
- Multi-target batch scanning
- REST API dengan autentikasi
MIT License - Bebas digunakan untuk tujuan edukasi dan research.
Ingat: Dengan kekuatan besar datang tanggung jawab besar. Gunakan dengan bijak!
Untuk pertanyaan atau issue, buat ticket di repository ini atau hubungi developer.
Happy (Ethical) Hacking! π