w3af 在 web 攻击 扫描 渗透中使用很广
是 一个完整的Web 应用攻击和漏洞分析环境。
其有控制台 和界面俩种 使用方式
只讨论界面
简介:
其主要功能分为:
- 漏洞挖掘(discovery)
- 漏洞分析(audit)
- 漏洞匹配(grep)
- 漏洞利用(exploit)
- 文件输出(output)
- Mangle
- 暴力破解(bruteforce)
- 隐匿(evasion)
以下是各个功能模块简介
漏洞挖掘(discovery)
搜寻新的URL、表单和其它注入点(injection points)。
本质是Web spider
便是一个经典的漏洞挖掘插件。
漏洞分析(audit)
会向所有可注入点发送特别设计的数据。
漏洞攻击(attack)
利用分析插件发现的漏洞。
它们通常会得到一个远程服务器的 shell
或者一个利用SQL 注入漏洞获取的远程数据库表。