BlindElephant是一款Web Application Fingerprinter程序,當然同樣類似的還有WhatWeb,不過WhatWeb好像是不能掃插件的，這個可以。

(Qualys的安全研究員Patrick Thomas在Black Hat會議上討論了開源Web應用程序指紋引擎BlindElephant。 BlindElephant是一種工具，幫助安全專家和系統管理員識別服務器上的一切操作，包括用戶下載的任何Web應用程序。它不是發現漏洞，而是檢查所運行Web應用程序的版本 )

這個工具運行需要Python 2.6.x環境，而BT4上的Python默認是2.5.2,運行BlindElephant是會報錯的。

1.從python官方網站上下載Python-2.7.tar.bz2回本地，解壓，安裝

root@pentestbox:/pentest/scanners# tar xjvf Python-2.7.tar.bz2

root@pentestbox:/pentest/scanners# ./configure –prefix=/opt/python2.7

root@pentestbox:/pentest/scanners# make

root@pentestbox:/pentest/scanners# make install

2.svn下載BlindElephant，安裝

root@pentestbox:/pentest/scanners#svn co 

https://blindelephant.svn.sourceforge.net/svnroot/blindelephant/trunk blindelephant

root@pentestbox:/pentest/scanners#cd blindelephant/src

root@pentestbox:/pentest/scanners#sudo python setup.py install

這時會多出一個bulid文件夾了，進去運行BlindElephant，進行測試

如下圖所示 指紋對比靜態文件的方法

本文由http://v.securepub.com收集整理。

【編輯推薦】

1. 研究人員致力于智能化Web應用程序安全掃描工具
2. Web應用程序構建后的一些必備安全措施