什么是Wfuzz?
Wfuzz是一种用于强制使用Web应用程序的黑客工具。该工具的一些功能包括多个注入点功能,多个字典,输出到HTML,递归(执行目录bruteforce),彩色输出,帖子,标题和身份验证数据暴力强制,Cookie模糊,请求之间的时间延迟,SOCK支持,认证支持(NTLM,Basic),代理支持,与迭代器的有效负载组合,HEAD扫描(资源发现更快),强力HTTP方法,多代理支持(通过不同代理的每个请求),并通过返回代码隐藏结果数字,行号,正则表达式。
Wfuzz是免费的吗?
是! Wfuzz是免费的
Wfuzz是否适用于所有操作系统?
它适用于Linux,Windows和MAC OS X操作系统。
Wfuzz的典型用途是什么?
此工具用于强制Web应用程序,可用于查找未链接的资源(servlet,目录,脚本等),各种注入的POST参数,如SQL,LDAP,XSS,表单参数bruteforcing(username / password),模糊和更多。
工具免费使用教程地址:
https://www.youtube.com/watch?v=ASMW_oLbyIg
Wfuzz详解:
Wfuzz的创建是为了便于Web应用程序评估的任务,它基于一个简单的概念:它用一个给定的有效载荷值取代对FUZZ关键字的引用。
Wfuzz中的有效载荷是数据的来源。
这个简单的概念允许在HTTP请求的任何字段中注入任何输入,允许在不同的Web应用程序组件中执行复杂的Web安全攻击,例如参数,身份验证,表单,目录/文件,头文件等。
Wfuzz不仅仅是一个网页内容扫描器:
- Wfuzz可以帮助您通过查找和利用Web应用程序漏洞来保护您的Web应用程序。插件支持Wfuzz的Web应用程序漏洞扫描器。
- Wfuzz是一个完全模块化的框架,使得即使是最新的Python开发者也能轻松做出贡献。构建插件很简单,只需要几分钟时间。
- Wfuzz将一个简单的语言界面暴露给使用Wfuzz或其他工具(如Burp)执行的以前的HTTP请求/响应。这使您可以在完全上下文和理解您的操作的情况下执行手动和半自动测试,而无需依赖于基础实施的Web应用程序扫描器。
它是为了方便网络应用程序评估的任务而创建的,它是测试者对于测试者的工具;)
安装
要安装WFuzz,只需使用pip:
pip install wfuzz
文档
文档可在 http://wfuzz.readthedocs.io 找到
下载
检查Github发布。最新的是在https://github.com/xmendez/wfuzz/releases/latest
教程
Wfuzz cli:
- $wfuzz -w wordlist/general/common.txt --hc 404 http://testphp.vulnweb.com/FUZZ
Wfuzz library:
- >>> import wfuzz
- >>> for r in wfuzz.get_payload(range(100)).fuzz(hl=[97], url="http://testphp.vulnweb.com/listproducts.php?cat=FUZZ"):
- ... print r
- ...
Wfuzz payload generator:
- $wfpayload -z range,0-10
0
1
2
3
4
5
6
7
8
9
10
Wfuzz encoder/decoder:
- $ wfencode -e md5 test
098f6bcd4621d373cade4e832627b4f6
