Whitewidow 是一個(gè)開源的 SQL 漏洞自動(dòng)掃描器,可用通過(guò)文件列表運(yùn)行,或者從 Google 爬取并發(fā)現(xiàn)有潛在漏洞的網(wǎng)站。 這個(gè)工具支持自動(dòng)格式化文件、隨機(jī)用戶代理、IP 地址、服務(wù)器信息、多 SQL 注入語(yǔ)法、從程序直接啟動(dòng) sqlmap 以及一些有趣的環(huán)境。Whitewidow 是為學(xué)習(xí)目的而開發(fā),旨在讓用戶知道漏洞是啥樣的。
啟動(dòng) whitewidow 后,會(huì)有個(gè)定制的 Banner Logo,然后可以開始搜索可能易受攻擊的網(wǎng)站:
Whitewidow 可以通過(guò)超過(guò) 1000 多種不同查詢(query),從 Google 爬取發(fā)現(xiàn)有漏洞的網(wǎng)站。當(dāng)然了,也支持多種 SQL 注入。
Whitewidow 還可以檢測(cè)單個(gè)網(wǎng)頁(yè)中所有的可用鏈接,然后進(jìn)一步搜索對(duì)應(yīng)鏈接網(wǎng)頁(yè)中的漏洞。
上述做完之后,發(fā)現(xiàn)有漏洞的站點(diǎn)后,可以直接從程序啟動(dòng) sqlmap,不需要另外去下載。
基本用法
ruby whitewidow.rb -d 默認(rèn)模式運(yùn)行 whitewidow,用隨機(jī)的搜索查詢,從 Google 爬取發(fā)現(xiàn)潛在漏洞網(wǎng)站。
ruby whitewidow.rb -f path/to/file 從指定的文件開始運(yùn)行,并把 SQL 語(yǔ)法添加到 URL 中。
ruby whitewidow.rb -h 查詢幫助信息
更多用法,請(qǐng)查看 wiki:https://github.com/Ekultek/whitewidow/wiki/Functionality
依賴
gem 'mechanize'
gem 'nokogiri'
gem 'rest-client'
gem 'webmock'
gem 'rspec'
gem 'vcr'
安裝所有 gem 依賴,請(qǐng)遵循下面模板
cd whitewidow
bundle install
然后就應(yīng)該全部依賴都安裝好了,應(yīng)該正常啟動(dòng) Whitewidow。