Приветствую, хакеры! Сегодня речь пойдет о новом сканере уязвимостей и содержимого ресурса BlackWidow.

BlackWidow - это сканер веб-приложений на основе Python, используется для сбора субдоменов, URL-адресов, динамических параметров, адресов электронной почты и телефонных номеров с целевого веб-сайта. Этот проект, также включает, Fuzzer Inject-X для сканирования динамических URL-адресов по общим уязвимостям OWASP.
Установка, Kali Linux 2017.3:

Код:

   git clone https://github.com/1N3/BlackWidow

Код:

   pip install –r requirements.txt

Код:

   cp blackwidow /usr/bin/

   cp injectx.py /usr/bin/

Функционал:

• Сканирование всех URL-адресов с целевого веб-сайта
• Сбор всех динамических URL и параметров
• Формирование списка всех субдоменов с целевого сайта
• Сканирование наличия телефонных номеров
• Сбор все адресов электронной почты находящихся на сайте
• Сканирование всех URL-адресов содержащих формы с веб-сайта
• Автоматическое сканирование / fuzz для общих уязвимостей OWASP TOP
• Автоматическое сохранение все данных в отсортированные текстовые файлы

Справка:

Код:

   blackwidow –h

Примеры запуска:
 

blackwidow -u https://target.com - сканирование target.com на 3 уровне интенсивности.

blackwidow -d target.com -l 5 - сканирование домена: target.com с 5 уровнем интенсивности.

blackwidow -d target.com -l 5 -s y - сканирование домена: target.com с 5 уровнем интенсивности и подбором всех уникальных параметров для уязвимостей OWASP.

injectx.py https://test.com/uer...er=1&admin=true - Fuzz все параметры GET для общих уязвимостей OWASP.

Итог сканирования с уровнем 5, довольно обширный и для его анализа, потребуется значительное количество времени. Так как, анализируемый мной ресурс довольно емкий. Полученная информация позволяет, расширить вектор атаки на SQL инъекции, и так далее. В целом, инструмент довольно неплох, и имеет место быть в коллекции.

Вся информация предоставлена лишь для ознакомления и не призывает к действиям. Автор не несет ответственности за использование этой информации.