Wfuzz是一个基于Python的Web爆破程序，它支持多种方法来测试WEB应用的漏洞。

你可以审计参数、登录认证、GET/POST方式爆破的表单，并且可以发掘未公开的资源，比如目录、文件和头部之类的。

Wfuzz是一款为了评估WEB应用而生的Fuzz（Fuzz是爆破的一种手段）工具，它基于一个简单的理念，即用给定的Payload去fuzz。它允许在HTTP请求里注入任何输入的值，针对不同的WEB应用组件进行多种复杂的爆破攻击。比如：参数、认证、表单、目录/文件、头部等等。

你可以用Wfuzz找到下面的漏洞：

• 可预测的认证
• 可预测的session标志（session id）
• 可预测的资源定位（目录和文件）
• 注入
• 路径遍历
• 溢出
• 跨站脚本
• 认证漏洞
• 不安全的直接对象引用

特性

Wfuzz是用来帮助测试人员评估WEB应用的渗透测试工具。

• 递归（目录发掘）
• Post数据爆破
• 头部爆破
• 输出HTML（详细报告，点击链接查看内容，POST数据也能阅览）
• 多彩输出
• 返回码、词数、行数等等来隐藏结果。
• URL编码
• Cookie
• 多线程
• 代理支持
• 多参数fuzz

如果需要的朋友可以去这里下载Wfuzz。