w13scan:一款插件化基于流量分析的被动扫描器

w13scan介绍

w13scan是一款插件化基于流量分析的扫描器,通过编写插件它会从访问流量中自动扫描,基于Python3。

w13scan:一款插件化基于流量分析的被动扫描器
w13scan流程图

w13scan安装与使用

安装

  • git clone https://github.com/boy-hack/w13scan & cd w13scan
  • pip3 install -r requirements.txt
  • python3 main.py

配置

Https支持

设置代理服务器(默认127.0.0.1:7778)后,访问http://w13scan.ca下载根证书并信任它。

相关配置

config.py保存了扫描器使用的各种配置,按照注释修改即可。

w13scan含检测插件

  •  敏感信息扫描
    •  .git .svn .bzr .hg泄漏
    •  目录未授权访问
    •  linux敏感文件读取
    •  JetBrans IDEA配置文件扫描
    •  .htaccess 泄漏
    •  sftp json泄漏
    •  序列化参数预警
    •  JS敏感内容匹配
    •  phpinfo信息
  •  PHP真实路径泄漏
  •  备份文件扫描
    •  常见备份文件
    •  基于URL组合路径备份文件
  •  SQL注入
    •  报错型SQL注入
    •  时间盲注
    •  布尔类型SQL注入
  •  命令注入
    •  系统命令注入
    •  PHP命令注入
    •  ASP命令注入
  •  文件包含漏洞
  •  目录穿越漏洞
  •  URL任意跳转
  •  CRLF注入
  •  JSONP信息搜索
  •  CORS信息搜索

其他插件

  •  被动子域名搜索
  •  被动E-mail,Phone等信息搜索

w13scan点评

w13scan是W12Scan的同人作品,看得出作者是在用实践打怪升级,体验盒子在安装简单试用w13scan后觉得思路不错,但也表现的不是很成熟,使用该项目最好有不错的动手能力Diy。感兴趣的同学可以多向作者Issues。