W3af是一款python开发的工具的Web应用程序攻击和检查框架。该项目已超过130个插件，其中检查SQL注入，跨站点脚本（XSS），本地和远程文件等。该项目的目标是要建立一个框架，以寻找和开发Web应用安全漏洞，很容易使用和扩展。

功能和特点 支持代理
代理身份验证（基本和摘要）
网站身份验证（基本和摘要）
超时处理
伪造用户代理
新增自订标题的请求
cookie处理
本地缓存GET和头部
本地DNS缓存
保持和支持http和https连接
使用多POS请求文件上传
支持SSL证书

官方网站：http://W3AF.sourceforge.net

 

使用方法：

profiles 是已经定义好的插件，并根据不同的类型进行了分类，中间的plugin 是我们所有可用的插件，允许我们自己定义要检查的内容，中间偏下的output指的是结果保存的方式，target 指的是要进行评估的目标url，还有就是上面的一些选项，如tools 是一些小工具,configuration是一些扫描时的配置等，中间的标题栏是把一些常用工具及选项用图标列出来，如wizards图标，是以向导的方式引导你填写一个评估的profile，并开始评估任务。manual request 是tools 里的一个request 工具等。

 

步骤1：填写目标url，指定安全审核内容

步骤2：指定扫描结果的保存方式

步骤3：设置扫描时需要的其他选项

步骤4: 查看扫描结果信息

步骤 5：通过exploit 进行漏洞验证