A Wfuzz egy Python-alapú rugalmas webalkalmazás jelszófeltörő vagy brute forcer, amely különböző módszereket és technikákat támogat a webalkalmazás sebezhetőségének feltárására. Ez lehetővé teszi a paraméterek, a hitelesítés, az űrlapok ellenőrzését brutális GET és POST paraméterekkel, a nem linkelt erőforrások, például könyvtárak/fájlok, fejlécek stb. feltárását.

A brute force támadás egy olyan módszer egy ismeretlen érték meghatározására, amely egy automatizált folyamat segítségével nagyszámú lehetséges értéket próbál ki.

Mi a Wfuzz Bruteforcer?

A Wfuzz azért jött létre, hogy megkönnyítse a feladatot a webes alkalmazások értékelésében, és egy egyszerű koncepción alapul: a FUZZ kulcsszóra való minden hivatkozást egy adott payload értékével helyettesít. A payload a Wfuzz-ban egy bemeneti adatforrás.

Ez az egyszerű koncepció lehetővé teszi, hogy bármilyen bemeneti adatot be lehessen injektálni egy HTTP-kérés bármely mezőjébe, lehetővé téve összetett brute force támadások végrehajtását különböző webalkalmazási komponensekben, mint például: paraméterek, hitelesítés, űrlapok, könyvtárak/fájlok, fejlécek stb.

Mivel többféle sebezhetőséget találhat:

• Kiszámítható hitelesítő adatok
• Kiszámítható munkamenet-azonosítók (session idʼs)
• Kiszámítható erőforrások helye (könyvtárak és fájlok)
• Injections
• Path traversals
• Overflows
• Cross site scripting
• Autentikációs hibák
• Biztonságtalan közvetlen objektum hivatkozások

Wfuzz Password Cracker Features

AWfuzz azért jött létre, hogy megkönnyítse a feladatot a webes alkalmazások értékelésében, pen-tesztelők által pen-tesztelőknek szánt eszköz.

• Rekurzió (könyvtárfeltáráskor)
• Post data brute-forcing
• Header brute-forcing
• Output to HTML (könnyű csak a linkekre kattintani és ellenőrizni az oldalt, még postdata esetén is!)
• Színezett kimenet
• Eredmények elrejtése visszatérési kód, szószámok, sorszámok stb. szerint.
• Url kódolás
• Cookies
• Multithreading
• Proxy támogatás
• All parameter fuzzing

How to use Wfuzz Password Cracker

Példa: