Whitewidow 是一个开源的 SQL 漏洞自动扫描器,可用通过文件列表运行,或者从 Google 爬取并发现有潜在漏洞的网站。 这个工具支持自动格式化文件、随机用户代理、IP 地址、服务器信息、多 SQL 注入语法、从程序直接启动 sqlmap 以及一些有趣的环境。
Whitewidow 是为学习目的而开发,旨在让用户知道漏洞是啥样的。
截图
启动 whitewidow 后,会有个定制的 Banner Logo,然后可以开始搜索可能易受攻击的网站:
Whitewidow 可以通过超过 1000 多种不同查询(query),从 Google 爬取发现有漏洞的网站。当然了,也支持多种 SQL 注入。
Whitewidow 还可以检测单个网页中所有的可用链接,然后进一步搜索对应链接网页中的漏洞。
上述做完之后,发现有漏洞的站点后,可以直接从程序启动 sqlmap,不需要另外去下载。
ruby whitewidow.rb -h 查询帮助信息
更多用法,请查看 wiki:https://github.com/Ekultek/whitewidow/wiki/Functionality
依赖
- gem 'mechanize'
- gem 'nokogiri'
- gem 'rest-client'
- gem 'webmock'
- gem 'rspec'
- gem 'vcr'
安装所有 gem 依赖,请遵循下面模板
cd whitewidow
bundle install
然后就应该全部依赖都安装好了,应该正常启动 Whitewidow。
下载:
直接 clone :https://github.com/WhitewidowScanner/whitewidow ,
或者直接下载:https://github.com/WhitewidowScanner/whitewidow/releases/tag/2.0
基本用法
ruby whitewidow.rb -d 默认模式运行 whitewidow,用随机的搜索查询,从 Google 爬取发现潜在漏洞网站。
ruby whitewidow.rb -f path/to/file 从指定的文件开始运行,并把 SQL 语法添加到 URL 中。