SQL漏洞自动扫描工具Whitewidow

作者：伯乐在线 2017-05-12 14:25:09运维 数据库运维 Whitewidow 是洞自动扫一个开源的 SQL 漏洞自动扫描器，可用通过文件列表运行，描工或者从 Google 爬取并发现有潜在漏洞的洞自动扫网站。 这个工具支持自动格式化文件、描工随机用户代理、洞自动扫IP 地址、描工服务器信息、洞自动扫多 SQL 注入语法、描工从程序直接启动 sqlmap 以及一些有趣的洞自动扫环境。

Whitewidow 是描工一个开源的 SQL 漏洞自动扫描器，可用通过文件列表运行，洞自动扫或者从 Google 爬取并发现有潜在漏洞的描工网站。 这个工具支持自动格式化文件、洞自动扫随机用户代理、描工IP 地址、洞自动扫服务器信息、多 SQL 注入语法、从程序直接启动 sqlmap 以及一些有趣的环境。

Whitewidow 是为学习目的而开发，旨在让用户知道漏洞是啥样的。

截图

启动 whitewidow 后，会有个定制的 Banner Logo，然后可以开始搜索可能易受攻击的网站：

 

Whitewidow 可以通过超过 1000 多种不同查询(query)，从 Google 爬取发现有漏洞的网站。当然了，也支持多种 SQL 注入。

  

 

Whitewidow 还可以检测单个网页中所有的可用链接，然后进一步搜索对应链接网页中的漏洞。 

 

上述做完之后，发现有漏洞的站点后，可以直接从程序启动 sqlmap，不需要另外去下载。 

 

基本用法

ruby whitewidow.rb -d 默认模式运行 whitewidow，用随机的搜索查询，从 Google 爬取发现潜在漏洞网站。

ruby whitewidow.rb -f path/to/file 从指定的文件开始运行，并把 SQL 语法添加到 URL 中。

ruby whitewidow.rb -h 查询帮助信息

更多用法，请查看 wiki：https://github.com/Ekultek/whitewidow/wiki/Functionality

依赖

• gem 'mechanize'
• gem 'nokogiri'
• gem 'rest-client'
• gem 'webmock'
• gem 'rspec'
• gem 'vcr'

安装所有 gem 依赖，请遵循下面模板

cd whitewidow

bundle install

然后就应该全部依赖都安装好了，应该正常启动 Whitewidow。

责任编辑：庞桂玉 来源： 数据库开发 SQL漏洞Whitewidow

(责任编辑：探索)