Wfuzz Download – Web Application Password Cracker
Wfuzz je flexibilní program pro prolamování hesel webových aplikací založený na Pythonu, který podporuje různé metody a techniky odhalování zranitelností webových aplikací. Umožňuje auditovat parametry, ověřování, formuláře s hrubým vynucením parametrů GET a POST, odhalovat neodkázané zdroje, jako jsou adresáře/soubory, hlavičky a podobně.
Útok hrubou silou je metoda určení neznámé hodnoty pomocí automatizovaného procesu zkoušení velkého počtu možných hodnot.
Co je Wfuzz Bruteforcer?
Wfuzz byl vytvořen pro usnadnění úlohy při posuzování webových aplikací a je založen na jednoduchém konceptu: nahrazuje jakýkoli odkaz na klíčové slovo FUZZ hodnotou daného užitečného zatížení. Payload ve Wfuzz je zdroj vstupních dat.
Tento jednoduchý koncept umožňuje vložit libovolný vstup do libovolného pole požadavku HTTP, což umožňuje provádět komplexní útoky hrubou silou v různých komponentách webových aplikací, jako jsou: parametry, ověřování, formuláře, adresáře/soubory, hlavičky atd.
Můžete jej použít k nalezení několika typů zranitelností:
- Předvídatelné pověření
- Předvídatelný identifikátor relace (session idʼs)
- Předvídatelné umístění prostředků (adresáře a soubory)
- Injections
- Path traversals
- Overflows
- Cross site scripting
- Chyby v ověřování
- Nezabezpečené přímé odkazy na objekty
Funkce nástroje Wfuzz Password Cracker
Wfuzz byl vytvořen pro usnadnění úlohy při posuzování webových aplikací, nástroj od pen-testerů pro pen-testery.
- Rekurze (při zjišťování adresářů)
- Post data brute-forcing
- Header brute-forcing
- Výstup do HTML (snadné pro pouhé kliknutí na odkazy a kontrolu stránky, i s postdaty!)
- Barevný výstup
- Skrytí výsledků podle návratového kódu, čísla slova, čísla řádku atd.
- Kódování URL
- Kódování cookies
- Multithreading
- Podpora proxy serveru
- Fuzzing všech parametrů
Jak používat Wfuzz Password Cracker
Příklad:
1
|
wfuzz.py -c -z file -f commons.txt –hc 404 –html http://www.mysite.com/FUZZ
|
Můžete také vyzkoušet:
– Patator – Multi Purpose Brute Forcing Tool
– Medusa v1.5 Released – Parallel, Modular Login Brute Forcing Tool
– THC Hydra Download – Fast & Flexible Network Login Hacking Tool
Wfuzz si můžete stáhnout zde:
wfuzz-v2.1.5.zip
Nebo si přečtěte více zde.
.