Articles

Wfuzz Download – Web Application Password Cracker

Wfuzz es un cracker de contraseñas de aplicaciones web flexible basado en Python o brute forcer que soporta varios métodos y técnicas para exponer vulnerabilidades de aplicaciones web. Esto le permite auditar parámetros, autenticación, formularios con parámetros GET y POST de fuerza bruta, descubrir recursos no enlazados como directorios/archivos, cabeceras, etc.

Un ataque de fuerza bruta es un método para determinar un valor desconocido utilizando un proceso automatizado para probar un gran número de valores posibles.

¿Qué es Wfuzz Bruteforcer?

Wfuzz fue creado para facilitar la tarea en las evaluaciones de aplicaciones web y se basa en un concepto simple: sustituye cualquier referencia a la palabra clave FUZZ por el valor de una carga útil determinada. Un payload en Wfuzz es una fuente de datos de entrada.

Este sencillo concepto permite inyectar cualquier entrada en cualquier campo de una petición HTTP, permitiendo realizar complejos ataques de fuerza bruta en diferentes componentes de la aplicación web como: parámetros, autenticación, formularios, directorios/archivos, cabeceras, etc.

Se puede utilizar para encontrar varios tipos de vulnerabilidades:

  • Credenciales predecibles
  • Identificador de sesiones predecible (session idʼs)
  • Localización de recursos predecible (directorios y archivos)
  • Inyecciones
  • Path traversals
  • Overflows
  • Cross site scripting
  • Fallas de autenticación
  • Referencias directas a objetos inseguros

Características de Wfuzz Password Cracker

Wfuzz fue creado para facilitar la tarea en las evaluaciones de aplicaciones web, una herramienta por pen-testers para pen-testers.

  • Recursión (al hacer el descubrimiento de directorios)
  • Fuerza bruta de postdatos
  • Fuerza bruta de encabezados
  • Salida a HTML (fácil para hacer clic en los enlaces y comprobar la página, ¡incluso con postdatos!)
  • Salida coloreada
  • Ocultar resultados por código de retorno, números de palabra, números de línea, etc.
  • Codificación de URL
  • Cookies
  • Multihilo
  • Soporte de proxy
  • Fuzzing de todos los parámetros

Cómo usar Wfuzz Password Cracker

Ejemplo:

1
wfuzz.py -c -z file -f commons.txt –hc 404 –html http://www.mysite.com/FUZZ

También puedes consultar:

– Patator – Multi Purpose Brute Forcing Tool
– Medusa v1.5 Released – Parallel, Modular Login Brute Forcing Tool
– THC Hydra Download – Fast & Flexible Network Login Hacking Tool

You can download Wfuzz here:

wfuzz-v2.1.5.zip

O read more here.

187 Shares