Wfuzz

基于WEB打造的一款爆破工具，Wfuzz是基于Python打造，它能使用多种方式来测试web的漏洞问题，还可以审计参数，登录认证，发掘出更多未公开的资源，像目录，文件和头部之类的，很实用。

功能介绍

Wfuzz可以通过发现和利用Web应用程序漏洞来帮助您保护Web应用程序。插件支持Wfuzz的Web应用程序漏洞扫描程序。

Wfuzz是一个完全模块化的框架，即使是最新的Python开发人员也可以轻松做出贡献。构建插件很简单，只需几分钟。

Wfuzz为使用Wfuzz或其他工具（例如Burp）执行的先前HTTP请求/响应提供了简单的语言界面。这样，您就可以在不依赖于Web应用程序扫描程序基础实现的情况下，在完整的上下文和对您的操作的了解下执行手动和半自动测试。

软件特色

*具有多个词典的多个注入点功能 

*递归（执行目录bruteforce时）

*帖子，标题和身份验证数据的强制破解

*输出为HTML

*彩色输出

*通过返回码，单词号，行号，正则表达式隐藏结果。

*饼干模糊

*多线程

*代理支持

*支持SOCK

*请求之间的时间延迟

*身份验证支持（NTLM，基本）

*所有参数暴力破解（POST和GET）

*每个有效负载多个编码器

*带有迭代器的有效载荷组合

*基准要求（用于过滤结果）

*蛮力HTTP方法

*多个代理支持（每个请求都通过不同的代理）

* HEAD扫描（更快的资源发现）

*针对已知应用程序（Weblogic，Iplanet，Tomcat，Domino，Oracle 9i

可查找的漏洞

可预测的认证

可预测的session标志（session id）

可预测的资源定位（目录和文件）

注入

路径遍历

溢出

跨站脚本

认证漏洞

不安全的直接对象引用