xmendez/wfuzz

[](https://travis-ci.org/xmendez/wfuzz) # Wfuzz - The Web Fuzzer 创建 Wfuzz 的初衷是为了简化 Web 应用评估的工作，它基于一个简单的概念：将任何对 FUZZ 关键字的引用替换为给定 payload 的值。 在 Wfuzz 中，payload 是一种数据源。 这个简单的概念允许将任何输入注入到 HTTP 请求的任何字段中，从而能够在不同的 Web 应用组件（例如：参数、身份验证、表单、目录/文件、请求头等）中执行复杂的 Web 安全攻击。 Wfuzz 不仅仅是一个 Web 内容扫描器： * Wfuzz 可以通过发现和利用 Web 应用漏洞来帮助你保护 Web 应用的安全。Wfuzz 的 Web 应用漏洞扫描器通过插件提供支持。 * Wfuzz 是一个完全模块化的框架，即使是 Python 初学者也能轻松参与贡献。构建插件非常简单，只需几分钟即可完成。 * Wfuzz 为之前使用 Wfuzz 或其他工具（如 Burp）执行的 HTTP 请求/响应暴露了一个简单的语言接口。这使你能够在充分了解操作上下文的情况下执行手动和半自动测试，而无需依赖 Web 应用扫描器的底层实现。 它的诞生是为了简化 Web 应用评估中的任务，这是一款由渗透测试人员专为渗透测试人员打造的工具 ;) ## 安装 要安装 WFuzz，只需使用 pip： ``` pip install wfuzz ``` 要从 Docker 镜像运行 Wfuzz，请执行： ``` $ docker run -v $(pwd)/wordlist:/wordlist/ -it ghcr.io/xmendez/wfuzz wfuzz ``` ## 文档 文档可在 http://wfuzz.readthedocs.io 获取 ## 下载 查看 GitHub releases。最新版本可在 https://github.com/xmendez/wfuzz/releases/latest 获取

标签：CISA项目, HTTP请求注入, Python, Web安全, Web应用漏洞扫描, Wfuzz, 参数Fuzz, 反取证, 大数据, 安全评估, 密码管理, 插件化框架, 无后门, 目录扫描, 网络安全, 自动化攻击, 蓝队分析, 请求拦截, 逆向工具, 隐私保护, 黑盒测试