Статья BlackWidow - Python Web - scanner

Привет! Сегодня речь пойдет о новом сканере уязвимостей и содержимого ресурса BlackWidow.

BlackWidow - это сканер веб-приложений на основе Python, используется для сбора субдоменов, URL-адресов, динамических параметров, адресов электронной почты и телефонных номеров с целевого веб-сайта. Этот проект, также включает, Fuzzer Inject-X для сканирования динамических URL-адресов по общим уязвимостям OWASP.
Установка, Kali Linux 2017.3:

git clone https://github.com/1N3/BlackWidow

pip install –r requirements.txt

cp blackwidow /usr/bin/
cp injectx.py /usr/bin/

Функционал:

• Сканирование всех URL-адресов с целевого веб-сайта
• Сбор всех динамических URL и параметров
• Формирование списка всех субдоменов с целевого сайта
• Сканирование наличия телефонных номеров
• Сбор все адресов электронной почты находящихся на сайте
• Сканирование всех URL-адресов содержащих формы с веб-сайта
• Автоматическое сканирование / fuzz для общих уязвимостей OWASP TOP
• Автоматическое сохранение все данных в отсортированные текстовые файлы

Справка:

blackwidow –h

Примеры запуска:

• blackwidow -u
  Ссылка скрыта от гостей
  - сканирование target.com на 3 уровне интенсивности.
• blackwidow -d target.com -l 5 - сканирование домена: target.com с 5 уровнем интенсивности.
• blackwidow -d target.com -l 5 -s y - сканирование домена: target.com с 5 уровнем интенсивности и подбором всех уникальных параметров для уязвимостей OWASP.
• injectx.py
  Ссылка скрыта от гостей
  - Fuzz все параметры GET для общих уязвимостей OWASP.

Итог сканирования с уровнем 5, довольно обширный и для его анализа, потребуется значительное количество времени. Так как, анализируемый мной ресурс довольно емкий. Полученная информация позволяет, расширить вектор атаки на SQL инъекции, и так далее. В целом, инструмент довольно неплох, и имеет место быть в коллекции.
Спасибо за внимание.