Перейти к содержимому



Фотография
  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1 roguevad

roguevad

    Эксперт.

  • Пользователи
  • PipPipPipPipPip
  • 370 сообщений

Отправлено 18 Май 2021 - 01:57

Приветствую, хакеры! Сегодня речь пойдет о новом сканере уязвимостей и содержимого ресурса BlackWidow.

BlackWidow - это сканер веб-приложений на основе Python, используется для сбора субдоменов, URL-адресов, динамических параметров, адресов электронной почты и телефонных номеров с целевого веб-сайта. Этот проект, также включает, Fuzzer Inject-X для сканирования динамических URL-адресов по общим уязвимостям OWASP.
Установка, Kali Linux 2017.3:

Код:

   git clone https://github.com/1N3/BlackWidow

 

Код:

   pip install –r requirements.txt

 

Код:

   cp blackwidow /usr/bin/

   cp injectx.py /usr/bin/

Функционал:

  • Сканирование всех URL-адресов с целевого веб-сайта
  • Сбор всех динамических URL и параметров
  • Формирование списка всех субдоменов с целевого сайта
  • Сканирование наличия телефонных номеров
  • Сбор все адресов электронной почты находящихся на сайте
  • Сканирование всех URL-адресов содержащих формы с веб-сайта
  • Автоматическое сканирование / fuzz для общих уязвимостей OWASP TOP
  • Автоматическое сохранение все данных в отсортированные текстовые файлы

Справка:

Код:

   blackwidow –h

 

Примеры запуска:
 

blackwidow -u https://target.com - сканирование target.com на 3 уровне интенсивности.

blackwidow -d target.com -l 5 - сканирование домена: target.com с 5 уровнем интенсивности.

blackwidow -d target.com -l 5 -s y - сканирование домена: target.com с 5 уровнем интенсивности и подбором всех уникальных параметров для уязвимостей OWASP.

injectx.py https://test.com/uer...er=1&admin=true - Fuzz все параметры GET для общих уязвимостей OWASP.

 

Итог сканирования с уровнем 5, довольно обширный и для его анализа, потребуется значительное количество времени. Так как, анализируемый мной ресурс довольно емкий. Полученная информация позволяет, расширить вектор атаки на SQL инъекции, и так далее. В целом, инструмент довольно неплох, и имеет место быть в коллекции.

 

Вся информация предоставлена лишь для ознакомления и не призывает к действиям. Автор не несет ответственности за использование этой информации.

 





Темы с аналогичным тегами взлом, взломщик, хакер, хакинг, python web, sacnner, уязвимость, эксплойт, сканер, анализ данных, сканер приложений, поиск уязвимость, программа для взлома, программа сканер


Яндекс.Метрика Top.Mail.Ru Analysis Счетчик ИКС
Добавить Vkontakte Добавить в Facebook Добавить в Twitter Добавить в LiveJournal