米斯特白帽培训讲义 工具篇 Safe3 WVS

Safe3 WVS 是一款使用较为领先的智能化爬虫技术及 SQL 注入状态检测技术的工具，相比国内外同类产品智能化程度更高，速度更快，结果更准确。

所以我们一般用它检测 SQL 注入漏洞。不过目前也可以利用这款工具进行反射 XSS 的挖掘，因为他可以通过自动化的载荷来测试并判断网页源码，从而判断是否存在反射型 XSS 漏洞。

首先需要下载并安装 .net 2.0 框架，XP 之前可以需要单独安装，Win7 之后都自带了。

下载之后无需安装，直接打开使用即可。

打开程序主界面后，我们在上方的输入框中输入 URL。在漏洞设置分组框中选择“sql注入”和“xss”。然后如果需要设置 cookie 的话，在扫描设置分组框中输入 cookie，cookie 可以通过浏览器来获取，不同浏览器的获取方法不同。

填写完毕之后点击“开始”按钮，扫描结束之后我们会在下方的列表框中看到漏洞信息。

在 Safe3 的目录下，我们会看到一个，这个文件以纯文本的形式保存了漏洞信息。我们打开它：

我们可以编写一个python文件来提取其中的 SQL 注入 URL：

Web 安全扫描器天梯：