Whitewidow 是一個開源的 SQL 漏洞自動掃描器，可用通過文件列表運(yùn)行，或者從 Google 爬取并發(fā)現(xiàn)有潛在漏洞的網(wǎng)站。 這個工具支持自動格式化文件、隨機(jī)用戶代理、IP 地址、服務(wù)器信息、多 SQL 注入語法、從程序直接啟動 sqlmap 以及一些有趣的環(huán)境。

Whitewidow 是為學(xué)習(xí)目的而開發(fā)，旨在讓用戶知道漏洞是啥樣的。

截圖

啟動 whitewidow 后，會有個定制的 Banner Logo，然后可以開始搜索可能易受攻擊的網(wǎng)站：

Whitewidow 可以通過超過 1000 多種不同查詢(query)，從 Google 爬取發(fā)現(xiàn)有漏洞的網(wǎng)站。當(dāng)然了，也支持多種 SQL 注入。

Whitewidow 還可以檢測單個網(wǎng)頁中所有的可用鏈接，然后進(jìn)一步搜索對應(yīng)鏈接網(wǎng)頁中的漏洞。 

 

上述做完之后，發(fā)現(xiàn)有漏洞的站點(diǎn)后，可以直接從程序啟動 sqlmap，不需要另外去下載。 

基本用法

ruby whitewidow.rb -d 默認(rèn)模式運(yùn)行 whitewidow，用隨機(jī)的搜索查詢，從 Google 爬取發(fā)現(xiàn)潛在漏洞網(wǎng)站。

ruby whitewidow.rb -f path/to/file 從指定的文件開始運(yùn)行，并把 SQL 語法添加到 URL 中。

ruby whitewidow.rb -h 查詢幫助信息

更多用法，請查看 wiki：https://github.com/Ekultek/whitewidow/wiki/Functionality

依賴

• gem 'mechanize'
• gem 'nokogiri'
• gem 'rest-client'
• gem 'webmock'
• gem 'rspec'
• gem 'vcr'

安裝所有 gem 依賴，請遵循下面模板

cd whitewidow

bundle install

然后就應(yīng)該全部依賴都安裝好了，應(yīng)該正常啟動 Whitewidow。