搜文章
推荐 原创 视频 Java开发 iOS开发 前端开发 JavaScript开发 Android开发 PHP开发 数据库 开发工具 Python开发 Kotlin开发 Ruby开发 .NET开发 服务器运维 开放平台 架构师 大数据 云计算 人工智能 开发语言 其它开发
Lambda在线 > 信安问答 > 强大的Web Fuzz测试工具-Wfuzz

强大的Web Fuzz测试工具-Wfuzz

信安问答 2018-02-28

介绍

Wfuzz是一个基于Python的Web爆破程序,它支持多种方法来测试WEB应用的漏洞。你可以审计参数、登录认证、GET/POST方式爆破的表单,并且可以发掘未公开的资源,比如目录、文件和头部之类的。

强大的Web Fuzz测试工具-Wfuzz


功能

  • 可预测的认证

  • 可预测的session标志(session id)

  • 可预测的资源定位(目录和文件)

  • 注入

  • 路径遍历

  • 溢出

  • 跨站脚本

  • 认证漏洞

  • 不安全的直接对象引用

特性

  • 递归(目录发掘)

  • Post数据爆破

  • 头部爆破

  • 输出HTML(详细报告,点击链接查看内容,POST数据也能阅览)

  • 多彩输出

  • 返回码、词数、行数等等来隐藏结果。

  • URL编码

  • Cookie

  • 多线程

  • 代理支持

  • 多参数fuzz

参数

-c                : Output with colors   带颜色输出

-v                : Verbose information  版本信息

-o printer     : Output format by stderr  格式化输出

-t N              : Specify the number of threads (20 default)   线程

-s N             : Specify time delay between requests (0 default)   超时时间

-d postdata : Use post data (ex: "id=FUZZ&catalogue=1")   post数据包 

--hc             :  过滤状态码

--sc             :  只显示状态码

使用

wfuzz -c -z file,/usr/share/wfuzz/wordlist/general/big.txt --hc 404 http://192.168.0.111:9090/FUZZ      目录扫描

强大的Web Fuzz测试工具-Wfuzz

wfuzz -c -z file,user.txt -z file,pass.txt -d "username=FUZZ&password=FUZ2Z" --sc=200 http://192.168.0.111:9090/glzx.php     web表单爆破

强大的Web Fuzz测试工具-Wfuzz

根据长度可知admin:admin为账号密码。


      推荐阅读:





版权声明:本站内容全部来自于腾讯微信公众号,属第三方自助推荐收录。《强大的Web Fuzz测试工具-Wfuzz》的版权归原作者「信安问答」所有,文章言论观点不代表Lambda在线的观点, Lambda在线不承担任何法律责任。如需删除可联系QQ:516101458

文章来源: 阅读原文

相关阅读

关注信安问答微信公众号

信安问答微信公众号:secask_cn

信安问答

手机扫描上方二维码即可关注信安问答微信公众号

信安问答最新文章

精品公众号随机推荐