W3af是一款python开发的工具的Web应用程序攻击和检查框架。该项目已超过130个插件,其中检查SQL注入,跨站点脚本(XSS),本地和远程文件等。该项目的目标是要建立一个框架,以寻找和开发Web应用安全漏洞,很容易使用和扩展。
功能和特点 支持代理
代理身份验证(基本和摘要)
网站身份验证(基本和摘要)
超时处理
伪造用户代理
新增自订标题的请求
cookie处理
本地缓存GET和头部
本地DNS缓存
保持和支持http和https连接
使用多POS请求文件上传
支持SSL证书
官方网站:http://W3AF.sourceforge.net
使用方法:
profiles 是已经定义好的插件,并根据不同的类型进行了分类,中间的plugin 是我们所有可用的插件,允许我们自己定义要检查的内容,中间偏下的output指的是结果保存的方式,target 指的是要进行评估的目标url,还有就是上面的一些选项,如tools 是一些小工具,configuration是一些扫描时的配置等,中间的标题栏是把一些常用工具及选项用图标列出来,如wizards图标,是以向导的方式引导你填写一个评估的profile,并开始评估任务。manual request 是tools 里的一个request 工具等。
步骤1:填写目标url,指定安全审核内容
步骤2:指定扫描结果的保存方式
步骤3:设置扫描时需要的其他选项
步骤4: 查看扫描结果信息
步骤 5:通过exploit 进行漏洞验证
