Wfuzz Download – Web Application Password Cracker
Wfuzz è un flessibile web application password cracker o brute forcer basato su Python che supporta vari metodi e tecniche per esporre le vulnerabilità delle applicazioni web. Questo permette di controllare i parametri, l’autenticazione, i moduli con parametri GET e POST a forza bruta, scoprire risorse non collegate come directory/file, intestazioni e così via.
Un attacco a forza bruta è un metodo per determinare un valore sconosciuto utilizzando un processo automatizzato per provare un gran numero di valori possibili.
Che cos’è Wfuzz Bruteforcer?
Wfuzz è stato creato per facilitare il compito nelle valutazioni delle applicazioni web e si basa su un concetto semplice: sostituisce qualsiasi riferimento alla parola chiave FUZZ con il valore di un dato payload. Un payload in Wfuzz è una fonte di dati di input.
Questo semplice concetto permette di iniettare qualsiasi input in qualsiasi campo di una richiesta HTTP, permettendo di eseguire complessi attacchi brute force in diversi componenti delle applicazioni web come: parametri, autenticazione, moduli, directory/file, intestazioni, ecc.
È possibile utilizzarlo per trovare diversi tipi di vulnerabilità:
- Credenziali prevedibili
- Identificazione prevedibile delle sessioni (id di sessione)
- Posizione prevedibile delle risorse (directory e file)
- Iniezioni
- Traversamento di percorsi
- Overflow
- Cross site scripting
- Falle di autenticazione
- Riferimenti diretti a oggetti insicuri
Wfuzz Password Cracker Features
Wfuzz è stato creato per facilitare il compito nella valutazione delle applicazioni web, uno strumento da pen-tester per pen-tester.
- Ricorsione (quando si fa la scoperta della directory)
- Post data brute-forcing
- Header brute-forcing
- Output in HTML (facile per cliccare semplicemente i link e controllare la pagina, anche con postdata!)
- Output colorato
- Nascondere i risultati per codice di ritorno, numeri di parola, numeri di linea, ecc.
- Codifica URL
- Cookies
- Multithreading
- Supporto proxy
- Tutti i parametri del fuzzing
Come usare Wfuzz Password Cracker
Esempio:
1
|
wfuzz.py -c -z file -f commons.txt –hc 404 –html http://www.mysite.com/FUZZ
|
Puoi anche controllare:
– Patator – Multi Purpose Brute Forcing Tool
– Medusa v1.5 Rilasciato – Parallelo, modulare Login Brute Forcing Tool
– THC Hydra Download – Veloce & Flessibile Network Login Hacking Tool
Puoi scaricare Wfuzz qui:
wfuzz-v2.1.5.zip
O leggere di più qui.