米斯特白帽培训讲义工具篇 Safe3 WVS

2024-04-10 17:31:33

米斯特白帽培训讲义工具篇 Safe3 WVS

讲师：gh0stkey

整理：飞龙

协议：CC BY-NC-SA 4.0

介绍

Safe3 WVS 是一款使用较为领先的智能化爬虫技术及 SQL 注入状态检测技术的工具，相比国内外同类产品智能化程度更高，速度更快，结果更准确。

所以我们一般用它检测 SQL 注入漏洞。不过目前也可以利用这款工具进行反射 XSS 的挖掘，因为他可以通过自动化的载荷来测试并判断网页源码，从而判断是否存在反射型 XSS 漏洞。

下载

首先需要下载并安装 .net 2.0 框架，XP 之前可以需要单独安装，Win7 之后都自带了。

然后在吾爱云盘下载 Safe3。

下载之后无需安装，直接打开使用即可。

注入漏洞的扫描

打开程序主界面后，我们在上方的输入框中输入 URL。在漏洞设置分组框中选择“sql注入”和“xss”。然后如果需要设置 cookie 的话，在扫描设置分组框中输入 cookie，cookie 可以通过浏览器来获取，不同浏览器的获取方法不同。

填写完毕之后点击“开始”按钮，扫描结束之后我们会在下方的列表框中看到漏洞信息。

我们可以在列表框中点击右键，然后选择导出报表。

在 Safe3 的目录下，我们会看到一个spider.log，这个文件以纯文本的形式保存了漏洞信息。我们打开它：

我们可以编写一个python文件来提取其中的 SQL 注入 URL：

# coding: utf-8fi = open('spider.log', 'r')
fo = open('spider_sql.log', 'w')for line in fi.readlines():line = line.strip('\n')if 'sql注入' in line:url = line.split(' ')[0]print urlfo.write(url)fo.write('\n')fi.close()
fo.close()

米斯特白帽培训讲义工具篇 Safe3 WVS相关推荐

米斯特白帽培训讲义工具篇 BruteXSS
米斯特白帽培训讲义工具篇 BruteXSS 讲师:gh0stkey 整理:飞龙协议:CC BY-NC-SA 4.0 介绍 BruteXSS 是一个非常强大和快速的跨站点脚本检测工具,可用于暴力注入 ...
米斯特白帽培训讲义工具篇 Nmap
米斯特白帽培训讲义工具篇 Nmap 讲师:gh0stkey 整理:飞龙协议:CC BY-NC-SA 4.0 介绍 Nmap(网络映射器)是由 Gordon Lyon 涉及,用来探测计算机网络上的主 ...
米斯特白帽培训讲义工具篇 AWVS
米斯特白帽培训讲义工具篇 AWVS 讲师:gh0stkey 整理:飞龙协议:CC BY-NC-SA 4.0 功能 AWVS 即 Acunetix Web Vulnerability Scanner ...
米斯特白帽培训讲义漏洞篇提权
米斯特白帽培训讲义漏洞篇提权讲师:gh0stkey 整理:飞龙协议:CC BY-NC-SA 4.0 提权,顾名思义就是提高自己在服务器中的权限,就比如在 Windows 中你本身登录的用户是 ...
米斯特白帽培训讲义漏洞篇 CSRF
米斯特白帽培训讲义漏洞篇 CSRF 讲师:gh0stkey 整理:飞龙协议:CC BY-NC-SA 4.0 CSRF(Cross-site request forgery跨站请求伪造,也被称为&q ...
米斯特白帽培训讲义漏洞篇代码执行
米斯特白帽培训讲义漏洞篇代码执行讲师:gh0stkey 整理:飞龙协议:CC BY-NC-SA 4.0 原理由于开发人员编写源码时,没有针对代码中可执行的特殊函数入口做过滤,导致客户端可以提 ...
米斯特白帽培训讲义漏洞篇弱口令、爆破、遍历
米斯特白帽培训讲义漏洞篇弱口令.爆破.遍历讲师:gh0stkey 整理:飞龙协议:CC BY-NC-SA 4.0 成因弱口令没有严格和准确的定义,通常认为容易被别人(它们有可能对你很了解)猜 ...
米斯特白帽培训讲义挖掘篇
米斯特白帽培训讲义挖掘篇讲师:gh0stkey 整理:飞龙协议:CC BY-NC-SA 4.0 信息侦探信息侦探技术用于得到网站信息,包括网站服务器.WHOIS 信息,网站用户信息,网站程序信 ...
米斯特白帽培训讲义实战篇 WordPress
米斯特白帽培训讲义实战篇 WordPress 讲师:gh0stkey 整理:飞龙协议:CC BY-NC-SA 4.0 目标是http://hzwer.com. 首先有学员社到了他的个人信息和老密码 ...

最新文章

热门文章