Whitewidow 是一个开源的 SQL 漏洞自动扫描器，可用通过文件列表运行，或者从 Google 爬取并发现有潜在漏洞的网站。 这个工具支持自动格式化文件、随机用户代理、IP 地址、服务器信息、多 SQL 注入语法、从程序直接启动 sqlmap 以及一些有趣的环境。

Whitewidow 是为学习目的而开发，旨在让用户知道漏洞是啥样的。

截图

启动 whitewidow 后，会有个定制的 Banner Logo，然后可以开始搜索可能易受攻击的网站：

Whitewidow 可以通过超过 1000 多种不同查询（query），从 Google 爬取发现有漏洞的网站。当然了，也支持多种 SQL 注入。

Whitewidow 还可以检测单个网页中所有的可用链接，然后进一步搜索对应链接网页中的漏洞。

上述做完之后，发现有漏洞的站点后，可以直接从程序启动 sqlmap，不需要另外去下载。

ruby whitewidow.rb -h  查询帮助信息

更多用法，请查看 wiki：https://github.com/Ekultek/whitewidow/wiki/Functionality

依赖

• gem 'mechanize'
• gem 'nokogiri'
• gem 'rest-client'
• gem 'webmock'
• gem 'rspec'
• gem 'vcr'

安装所有 gem 依赖，请遵循下面模板

cd whitewidow

bundle install

然后就应该全部依赖都安装好了，应该正常启动 Whitewidow。

下载：

直接 clone ：https://github.com/WhitewidowScanner/whitewidow ，

或者直接下载：https://github.com/WhitewidowScanner/whitewidow/releases/tag/2.0

基本用法

ruby whitewidow.rb -d  默认模式运行 whitewidow，用随机的搜索查询，从 Google 爬取发现潜在漏洞网站。

ruby whitewidow.rb -f path/to/file 从指定的文件开始运行，并把 SQL 语法添加到 URL 中。