BlackWidow - Python Web - Сканер
@webwareПривет! Сегодня речь пойдет о новом сканере уязвимостей и содержимого ресурса BlackWidow.
BlackWidow - это сканер веб-приложений на основе Python, используется для сбора субдоменов, URL-адресов, динамических параметров, адресов электронной почты и телефонных номеров с целевого веб-сайта. Этот проект, также включает, Fuzzer Inject-X для сканирования динамических URL-адресов по общим уязвимостям OWASP.
Установка, Kali Linux 2017.3:
git clone https://github.com/1N3/BlackWidow
pip install –r requirements.txt
cp blackwidow /usr/bin/ cp injectx.py /usr/bin/
Функционал:
- Сканирование всех URL-адресов с целевого веб-сайта
- Сбор всех динамических URL и параметров
- Формирование списка всех субдоменов с целевого сайта
- Сканирование наличия телефонных номеров
- Сбор все адресов электронной почты находящихся на сайте
- Сканирование всех URL-адресов содержащих формы с веб-сайта
- Автоматическое сканирование / fuzz для общих уязвимостей OWASP TOP
- Автоматическое сохранение все данных в отсортированные текстовые файлы
Справка:
blackwidow –h
Примеры запуска:
- blackwidow -u https://target.com - сканирование target.com на 3 уровне интенсивности.
- blackwidow -d target.com -l 5 - сканирование домена: target.com с 5 уровнем интенсивности.
- blackwidow -d target.com -l 5 -s y - сканирование домена: target.com с 5 уровнем интенсивности и подбором всех уникальных параметров для уязвимостей OWASP.
- injectx.py https://test.com/uers.php?user=1&admin=true - Fuzz все параметры GET для общих уязвимостей OWASP.
Итог сканирования с уровнем 5, довольно обширный и для его анализа, потребуется значительное количество времени. Так как, анализируемый мной ресурс довольно емкий. Полученная информация позволяет, расширить вектор атаки на SQL инъекции, и так далее. В целом, инструмент довольно неплох, и имеет место быть в коллекции.
Спасибо за внимание.
Источник codeby.net