专栏首页信数据得永生米斯特白帽培训讲义 工具篇 Safe3 WVS

米斯特白帽培训讲义 工具篇 Safe3 WVS

米斯特白帽培训讲义 工具篇 Safe3 WVS

讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0

介绍

Safe3 WVS 是一款使用较为领先的智能化爬虫技术及 SQL 注入状态检测技术的工具,相比国内外同类产品智能化程度更高,速度更快,结果更准确。

所以我们一般用它检测 SQL 注入漏洞。不过目前也可以利用这款工具进行反射 XSS 的挖掘,因为他可以通过自动化的载荷来测试并判断网页源码,从而判断是否存在反射型 XSS 漏洞。

下载

首先需要下载并安装 .net 2.0 框架,XP 之前可以需要单独安装,Win7 之后都自带了。

然后在吾爱云盘下载 Safe3。

下载之后无需安装,直接打开使用即可。

注入漏洞的扫描

打开程序主界面后,我们在上方的输入框中输入 URL。在漏洞设置分组框中选择“sql注入”和“xss”。然后如果需要设置 cookie 的话,在扫描设置分组框中输入 cookie,cookie 可以通过浏览器来获取,不同浏览器的获取方法不同。

填写完毕之后点击“开始”按钮,扫描结束之后我们会在下方的列表框中看到漏洞信息。

我们可以在列表框中点击右键,然后选择导出报表。

在 Safe3 的目录下,我们会看到一个spider.log,这个文件以纯文本的形式保存了漏洞信息。我们打开它:

我们可以编写一个python文件来提取其中的 SQL 注入 URL:

# coding: utf-8

fi = open('spider.log', 'r')
fo = open('spider_sql.log', 'w')

for line in fi.readlines():
    line = line.strip('\n')
    if 'sql注入' in line:
        url = line.split(' ')[0]
        print url
        fo.write(url)
        fo.write('\n')

fi.close()
fo.close()

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 程序员不仅要学会百度,更要懂得提问

    前些天在学习EasySwoole的时候看到了开发文档上关于提问的艺术,以下是结合了自己开发过程中遇到的问题列出了几点建议:

    benny
  • Oracle故障分析的几点小结

    第一个是协助老同学排查一个性能故障,根据反馈每周的周日跑批量任务前端都会卡住,没有响应,之前拿到AWR分析了下,做了一些系统层面的优化,但是根据后续的跟进,说还...

    jeanron100
  • 30个MySQL千万级大数据查询优化技巧

    本文总结了30个mysql千万级大数据SQL查询优化技巧,特别适合大数据技术学习者。

    加米谷大数据
  • MongoDb数据库学习基础语法(二)

    MongoDB 删除数据库的语法格式如下: use dbname(数据库名字) db.dropDatabase() 删除集合: db.collect...

    黄林晴
  • 数据库自助服务演进初步设计

    今天对接完成了SQL自动化上线的一个功能,其实心里还是有点小激动,终于可以很肯定说,数据库方向开始提供的是数据服务,而不是传统意义的工单了。

    jeanron100
  • 一日一技:MySQL实现一个字段自增N

    青南
  • SqlServer 循环建表、删除表、更新表

    郑小超.
  • 还有这些MySQL高性能索引优化策略等你试用

    关于MySQL的优化,相信很多人都听过这一条:避免使用select*来查找字段,而是要在select后面写上具体的字段。

    lyb-geek
  • ASP.NET中的会话状态模式详解

    在ASP.NET中我们都会用到Session,但是Session存在哪里你们知道吗,今天我们就来了解一下。

    从此null
  • 大数据处理必备的十大工具

    Hive是一个建立在Hadoop上的开源数据仓库基础设施,通过Hive可以很容易的进行数据的ETL,对数据进行结构化处理,并对Hadoop上大数据文件进行查询和...

    加米谷大数据

扫码关注云+社区

领取腾讯云代金券