Wfuzz est un logiciel destiné à tester la sécurité des applications web. Il fonctionne selon la technique du bruteforce et permet par exemple de trouver des ressources n’étant pas linkées sur le site mais se trouvant quand même sur votre serveur comme des répertoires, des scripts, des servlets and co…
Il permet aussi de tester différents types d’injections (XSS, SQL, LDAP) et éprouve vos formulaires de logins.
Les fonctions de Wfuzz sont :
- Recursion (Pour trouver des répertoires non linkés)
- Bruteforce des données en POST et en GET
- Sortie en HTML (pratique=
- Affichage en couleur
- Encodage des url
- Cookies
- Multithreading
- Support des proxys
- Dictionnaires de bruteforce taillés sur mesure pour des applications connues comme Weblogic, Iplanet, Tomcat, Domino, Oracle 9i, Vignette, Coldfusion et d’autres…
D’après son concepteur, une de ses grandes force est sa vitesse. C’est donc un outil crée pour faciliter et accélérer les tests de sécurité sur des applications web. Je vous rappelle quand meme qu’utiliser ce genre de logiciel à des fins illégales et sur d’autres serveurs que le votre est illégal et pourrait se retourner contre vous (surtout si vous êtes du genre débutant 🙂 )
Ca fonctionne sous Windows et systèmes Unix.