专栏名称: 数据分析与开发
伯乐在线旗下账号,分享数据库相关技术文章、教程和工具,另外还包括数据库相关的工作。偶尔也谈谈程序员人生 :)
目录
相关文章推荐
数据分析与开发  ·  字节回应大模型训练被实习生攻击 ·  1 周前  
数据分析与开发  ·  取代数据岗,某司从业人员已集体转行.... ·  1 周前  
51好读  ›  专栏  ›  数据分析与开发

SQL 漏洞自动扫描工具 Whitewidow

数据分析与开发  · 公众号  · 数据库  · 2017-05-11 19:45

正文

(点击上方公众号,可快速关注)


来源:伯乐在线

如有好文章投稿,请点击 → 这里了解详情


Whitewidow 是一个开源的 SQL 漏洞自动扫描器,可用通过文件列表运行,或者从 Google 爬取并发现有潜在漏洞的网站。 这个工具支持自动格式化文件、随机用户代理、IP 地址、服务器信息、多 SQL 注入语法、从程序直接启动 sqlmap 以及一些有趣的环境。


Whitewidow 是为学习目的而开发,旨在让用户知道漏洞是啥样的。


截图


启动 whitewidow 后,会有个定制的 Banner Logo,然后可以开始搜索可能易受攻击的网站:



Whitewidow 可以通过超过 1000 多种不同查询(query),从 Google 爬取发现有漏洞的网站。当然了,也支持多种 SQL 注入。



Whitewidow 还可以检测单个网页中所有的可用链接,然后进一步搜索对应链接网页中的漏洞。



上述做完之后,发现有漏洞的站点后,可以直接从程序启动 sqlmap,不需要另外去下载。



下载


直接 clone :https://github.com/WhitewidowScanner/whitewidow ,


或者直接下载:


https://github.com/WhitewidowScanner/whitewidow/releases/tag/2.0


基本用法


ruby whitewidow.rb -d  默认模式运行 whitewidow,用随机的搜索查询,从 Google 爬取发现潜在漏洞网站。


ruby whitewidow.rb -f path/to/file 从指定的文件开始运行,并把 SQL 语法添加到 URL 中。


ruby whitewidow.rb -h  查询帮助信息


更多用法,请查看 wiki:https://github.com/Ekultek/whitewidow/wiki/Functionality


依赖



安装所有 gem 依赖,请遵循下面模板


cd whitewidow

bundle install


然后就应该全部依赖都安装好了,应该正常启动 Whitewidow。


GitHub 链接:https://github.com/WhitewidowScanner/whitewidow



看完本文有收获?请转发分享给更多人

关注「数据库开发」,提升 DB 技能