基于WEB打造的一款爆破工具,Wfuzz是基于Python打造,它能使用多种方式来测试web的漏洞问题,还可以审计参数,登录认证,发掘出更多未公开的资源,像目录,文件和头部之类的,很实用。
功能介绍
Wfuzz可以通过发现和利用Web应用程序漏洞来帮助您保护Web应用程序。插件支持Wfuzz的Web应用程序漏洞扫描程序。
Wfuzz是一个完全模块化的框架,即使是最新的Python开发人员也可以轻松做出贡献。构建插件很简单,只需几分钟。
Wfuzz为使用Wfuzz或其他工具(例如Burp)执行的先前HTTP请求/响应分享了简单的语言界面。这样,您就可以在不依赖于Web应用程序扫描程序基础实现的情况下,在完整的上下文和对您的操作的了解下执行手动和半自动测试。
软件特色
*具有多个词典的多个注入点功能聽
*递归(执行目录bruteforce时)
*帖子,标题和身份验证数据的强制破解
*输出为HTML
*彩色输出
*通过返回码,单词号,行号,正则表达式隐藏结果。
*饼干模糊
*多线程
*代理支持
*支持SOCK
*请求之间的时间延迟
*身份验证支持(NTLM,基本)
*所有参数暴力破解(POST和GET)
*每个有效负载多个编码器
*带有迭代器的有效载荷组合
*基准要求(用于过滤结果)
*蛮力HTTP方法
*多个代理支持(每个请求都通过不同的代理)
* HEAD扫描(更快的资源发现)
*针对已知应用程序(Weblogic,Iplanet,Tomcat,Domino,Oracle 9i
可查找的漏洞
可预测的认证
可预测的session标志(session id)
可预测的资源定位(目录和文件)
注入
路径遍历
溢出
跨站脚本
认证漏洞
不安全的直接对象引用
下载仅供下载体验和测试学习,不得商用和正当使用。
下载体验