WebStor是一款功能强大的网站安全检测工具脚本,在WebStor的帮助下,广大研究人员可以轻松快速枚举当前组织中的全部网站,以及响应存储、数据存储和其他所使用的已知Web技术。除此之外,WebStor还可以识别相关的0day漏洞以及利用技术。
快速识别组织中易受攻击的Web技术WebStor基于Python语言开发实现,可以实现快速枚举组织整个网络中所有的网站。因为很多情况下,广大安全研究人员几乎不可能跟踪分布在不同单元和网络上的不同管理员部署的所有Web技术,因此WebStor尤其适合解决这类具有分散管理的中大型组织中出现的独特问题。
WebStor可以通过执行下列操作任务来实现其目标:
执行DNS区域传输来收集组织网络中的A记录和CNAME记录。
使用Masscan扫描组织网络范围中开放的HTTP/HTTPS端口,以及组织网络的A记录和CNAME记录中存在的那些组织地址范围外的任何IP地址。
使用Python的requests库收集全部的响应信息并存储在MariaDB数据库中。除了IP地址之外,与开放HTTP/HTTPS端口的IP相对应的所有DNS名称都将包含在请求中,以便目标网站在使用不同Header的时候不会导致遗漏任何站点。
下载WappalyzerWeb技术数据库并存储在MariaDB数据库中,使用户能够按名称查询常见Web技术位置。
允许用户查询包含了自定义正则表达式的存储响应位置。
支持的平台
当前版本的WebStor支持在Linux系统上运行,由于该工具基于Python开发,因此也可以轻松移植到Windows系统上使用。工具架构工具要求应用程序Masscan:如果你想要使用Cron作业来更新数据库,则必须在通过WebStor执行Masscan扫描的时候提供sudo密码。MariaDB10.0.5或更高版本:WebStor尝试的默认凭据将是root和空密码。Python库pip3installdnspythonpip3installbeautifulsoup4pip3installmysql-connector-pythonpip3installjs-regexpip3installgeventpip3installrequests工具安装
首先,我们需要使用下列命令将该项目源码克隆至本地:
gitclone