WebScan v2.0: от идеи до pip install за одну неделю — путь, ошибки и бенчмарк

В сфере искусственного интеллекта произошло заметное событие. Предыстория 1 день назад я опубликовал первую статью про WebScan из Песочницы Хабра. Честно — не ожидал ничего особенного. Думал придут 50 человек, может кто-то поставит звезду на GitHub.

За первые сутки статью прочитали 548 человек. Потом пошли 10К охват, закреплённый пост на канале с 29К подписчиков, Google AI который начал рассказывать про WebScan всем кто спрашивал про bug bounty инструменты на Python. И 12 звёзд на GitHub от людей которых я не знаю.

Технические детали

Это была лучшая мотивация чтобы не останавливаться. Честно о трудностях Я подал заявку на Cyber Verification Program от Anthropic чтобы использовать Claude без блокировок для кибербезопасности. Причина — случайно нажал No на вопросе про MFA.

Одна кнопка, один отказ. Coverage был 84% — я думал 87%, оказалось это была progress bar pytest а не реальная цифра. Nuclei на Go оказался медленнее WebScan на Python.

Я сам не верил пока не провёл бенчмарк. Имя webscan на PyPI уже занято. Пришлось переименовать в webscan-security.

Отраслевые последствия

Всё это решалось — просто не всё шло по плану. Что изменилось за неделю v1. 0 это не просто версия.

Это другой инструмент. Плагины: 7 → 19Добавились: XSS, Blind SQLi, Path Traversal, Open Redirect, SSRF, GraphQL интроспекция, SSL/TLS анализ, Tech Fingerprint, Subdomain Enumeration через DNS и crt. sh, CVE lookup через NVD API (350,000+ уязвимостей в реальном времени), Secrets detection (AWS, OpenAI, Anthropic, GitHub ключи в исходниках).

CrawlerWebScan теперь сам обходит цель — парсит ссылки, формы, JavaScript эндпоинты. Раньше сканировал только то что ему давали. Теперь сам находит что сканировать.

Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.