Приветствую, хакеры! Сегодня речь пойдет о новом сканере уязвимостей и содержимого ресурса BlackWidow.
BlackWidow - это сканер веб-приложений на основе Python, используется для сбора субдоменов, URL-адресов, динамических параметров, адресов электронной почты и телефонных номеров с целевого веб-сайта. Этот проект, также включает, Fuzzer Inject-X для сканирования динамических URL-адресов по общим уязвимостям OWASP.
Установка, Kali Linux 2017.3:
Код:
git clone https://github.com/1N3/BlackWidow
Код:
pip install –r requirements.txt
Код:
cp blackwidow /usr/bin/
cp injectx.py /usr/bin/
Функционал:
- Сканирование всех URL-адресов с целевого веб-сайта
- Сбор всех динамических URL и параметров
- Формирование списка всех субдоменов с целевого сайта
- Сканирование наличия телефонных номеров
- Сбор все адресов электронной почты находящихся на сайте
- Сканирование всех URL-адресов содержащих формы с веб-сайта
- Автоматическое сканирование / fuzz для общих уязвимостей OWASP TOP
- Автоматическое сохранение все данных в отсортированные текстовые файлы
Справка:
Код:
blackwidow –h
Примеры запуска:
blackwidow -u https://target.com - сканирование target.com на 3 уровне интенсивности.
blackwidow -d target.com -l 5 - сканирование домена: target.com с 5 уровнем интенсивности.
blackwidow -d target.com -l 5 -s y - сканирование домена: target.com с 5 уровнем интенсивности и подбором всех уникальных параметров для уязвимостей OWASP.
injectx.py https://test.com/uer...er=1&admin=true - Fuzz все параметры GET для общих уязвимостей OWASP.
Итог сканирования с уровнем 5, довольно обширный и для его анализа, потребуется значительное количество времени. Так как, анализируемый мной ресурс довольно емкий. Полученная информация позволяет, расширить вектор атаки на SQL инъекции, и так далее. В целом, инструмент довольно неплох, и имеет место быть в коллекции.
Вся информация предоставлена лишь для ознакомления и не призывает к действиям. Автор не несет ответственности за использование этой информации.