WAScan – Web应用程序安全扫描器

WAScan - Web应用程序扫描器

WAScan是一个开源Web应用程序安全扫描程序。它旨在使用“黑匣子”方法查找各种漏洞，这意味着它不会研究Web应用程序的源代码，而是像模糊测试器（fuzzer）一样工作，扫描已部署的Web应用程序的页面，提取链接和表单并进行攻击脚本，发送payloads并查找错误消息，等等。WAScan基于python2.7构建，并且可以在具有Python环境的任何平台上运行。

功能

指纹

• Content Management System (CMS) -> 6
• Web Frameworks -> 22
• Cookies/Headers Security
• Languages -> 9
• Operating Systems (OS) -> 7
• Server -> ALL
• Web App Firewall (WAF) -> 50+

攻击

• Bash Commands Injection
• Blind SQL Injection
• Buffer Overflow
• Carriage Return Line Feed
• SQL Injection in Headers
• XSS in Headers
• HTML Injection
• LDAP Injection
• Local File Inclusion
• OS Commanding
• PHP Code Injection
• SQL Injection
• Server Side Injection
• XPath Injection
• Cross Site Scripting
• XML External Entity

审计

• Apache Status Page
• Open Redirect
• PHPInfo
• Robots.txt
• XST

爆破

• Admin Panel
• Common Backdoor
• Common Backup Dir
• Common Backup File
• Common Dir
• Common File
• Hidden Parameters

泄露

• Credit Cards
• Emails
• Private IP
• Errors -> (fatal errors,...)
• SSN

WAScan安装

WAScan使用

另外值得一提的是，该项目也是WPSeku的同人作者。