首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >米斯特白帽培训讲义 工具篇 Safe3 WVS

米斯特白帽培训讲义 工具篇 Safe3 WVS

作者头像
ApacheCN_飞龙
发布2019-02-15 10:27:58
发布2019-02-15 10:27:58
1.2K0
举报
文章被收录于专栏:信数据得永生信数据得永生

米斯特白帽培训讲义 工具篇 Safe3 WVS

讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0

介绍

Safe3 WVS 是一款使用较为领先的智能化爬虫技术及 SQL 注入状态检测技术的工具,相比国内外同类产品智能化程度更高,速度更快,结果更准确。

所以我们一般用它检测 SQL 注入漏洞。不过目前也可以利用这款工具进行反射 XSS 的挖掘,因为他可以通过自动化的载荷来测试并判断网页源码,从而判断是否存在反射型 XSS 漏洞。

下载

首先需要下载并安装 .net 2.0 框架,XP 之前可以需要单独安装,Win7 之后都自带了。

然后在吾爱云盘下载 Safe3。

下载之后无需安装,直接打开使用即可。

注入漏洞的扫描

打开程序主界面后,我们在上方的输入框中输入 URL。在漏洞设置分组框中选择“sql注入”和“xss”。然后如果需要设置 cookie 的话,在扫描设置分组框中输入 cookie,cookie 可以通过浏览器来获取,不同浏览器的获取方法不同。

填写完毕之后点击“开始”按钮,扫描结束之后我们会在下方的列表框中看到漏洞信息。

我们可以在列表框中点击右键,然后选择导出报表。

在 Safe3 的目录下,我们会看到一个spider.log,这个文件以纯文本的形式保存了漏洞信息。我们打开它:

我们可以编写一个python文件来提取其中的 SQL 注入 URL:

代码语言:javascript
复制
# coding: utf-8

fi = open('spider.log', 'r')
fo = open('spider_sql.log', 'w')

for line in fi.readlines():
    line = line.strip('\n')
    if 'sql注入' in line:
        url = line.split(' ')[0]
        print url
        fo.write(url)
        fo.write('\n')

fi.close()
fo.close()
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2016年12月22日,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 米斯特白帽培训讲义 工具篇 Safe3 WVS
    • 介绍
    • 下载
    • 注入漏洞的扫描
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档