这篇文章上次修改于 1387 天前，可能其部分内容已经发生变化，如有疑问可询问作者。

      Wfuzz是一个基于Python的Web爆破程序，它支持多种方法来测试WEB应用的漏洞。你可以审计参数、登录认证、GET/POST方式爆破的表单，并且可以发掘未公开的资源，比如目录、文件和头部之类的。

Wfuzz是一款为了评估WEB应用而生的Fuzz（Fuzz是爆破的一种手段）工具，它基于一个简单的理念，即用给定的Payload去fuzz。它允许在HTTP请求里注入任何输入的值，针对不同的WEB应用组件进行多种复杂的爆破攻击。比如：参数、认证、表单、目录/文件、头部等等。

你可以用Wfuzz找到下面的漏洞：

可预测的认证

可预测的session标志（session id）

可预测的资源定位（目录和文件）

注入

路径遍历

溢出

跨站脚本

认证漏洞

不安全的直接对象引用

特性

Wfuzz是用来帮助测试人员评估WEB应用的渗透测试工具。

递归（目录发掘）

Post数据爆破

头部爆破

输出HTML（详细报告，点击链接查看内容，POST数据也能阅览）

多彩输出

返回码、词数、行数等等来隐藏结果。

URL编码

Cookie

多线程

代理支持

多参数fuzz

【阅读原文】

【下载地址】