Wfuzz是一個基于Python的Web爆破程序,它支持多種方法來測試WEB應用的漏洞。你可以審計參數、登錄認證、GET/POST方式爆破的表單,并且可以發掘未公開的資源,比如目錄、文件和頭部之類的。
Wfuzz是一款為了評估WEB應用而生的Fuzz(Fuzz是爆破的一種手段)工具,它基于一個簡單的理念,即用給定的Payload去fuzz。它允許在HTTP請求里注入任何輸入的值,針對不同的WEB應用組件進行多種復雜的爆破攻擊。比如:參數、認證、表單、目錄/文件、頭部等等。
你可以用Wfuzz找到下面的漏洞:
可預測的認證
可預測的session標志(session id)
可預測的資源定位(目錄和文件)
注入
路徑遍歷
溢出
跨站腳本
認證漏洞
不安全的直接對象引用
特性
Wfuzz是用來幫助測試人員評估WEB應用的滲透測試工具。
遞歸(目錄發掘)
Post數據爆破
頭部爆破
輸出HTML(詳細報告,點擊鏈接查看內容,POST數據也能閱覽)
多彩輸出
返回碼、詞數、行數等等來隱藏結果。
URL編碼
Cookie
多線程
代理支持
多參數fuzz
Comments