w9scan 1.4

就在几分钟前又更新w9scan扫描器,1.4加入了爬虫模块,以及依附于爬虫的SQL注入检测、xss扫描、信息泄漏收集等等模块。

Github:https://github.com/boy-hack/w9scan


爬虫模块是从w8scan中分离出来的,基本的结构没有改变,但是新加入了URL相似度分析 的函数,这样使得爬虫可以不在无意义的爬取重复的链接了。具体的定义代码如下:

    def url_similar_check(self, url):
        '''
        URL相似度分析
        当url路径和参数键值类似时,则判为重复
        '''
        url_struct = urlparse.urlparse(url)
        query_key = '|'.join(sorted([i.split('=')[0] for i in url_struct.query.split('&')]))
        url_hash = hash(url_struct.path + query_key)
        if url_hash not in self.SIMILAR_SET:
            self.SIMILAR_SET.add(url_hash)
            return True
        return False
对url中的键进行了hash存储,当url中键相同时就不在爬取了。


SQL注入扫描以扫描类型分为了三种插件

1. int型注入扫描

2. 字符型注入扫描

3. 基于sql报错的扫描

这三种扫描可以在一定程度上检测到sql的注入漏洞


爬虫模块的基本思想

当爬虫获取到一个新的URL时,会用 spider_file 这个服务来标记url提供为爬虫检测

当爬虫爬取所有目录完毕时,会将所有爬取到的链接发送到 spider_end 这个服务模块检测

相关推荐

发表评论

路人甲

网友评论(2)

坐看大佬写代码
杨小杰博客 6年前 (2018-01-14) 回复
支持大拇指
  6年前 (2018-01-02) 回复