前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >VAF:一款功能强大的高级Web模糊测试工具

VAF:一款功能强大的高级Web模糊测试工具

作者头像
FB客服
发布2021-07-02 16:15:07
9620
发布2021-07-02 16:15:07
举报
文章被收录于专栏:FreeBufFreeBuf

关于VAF

VAF是一款功能强大的高级Web模糊测试工具,广大研究人员可以使用VAF来对Web应用程序进行模糊测试。

工具安装&编译

广大研究人员需要使用下列命令将该项目源码克隆至本地:

代码语言:javascript
复制
git clone https://github.com/d4rckh/vaf.git

接下来,我们需要从nim-long.org下载并安装nim:

代码语言:javascript
复制
nimble build

此时,我们的目录下将会创建出一个名为vaf.exe文件,接下来我们就可以直接双击并使用VAF了。

VAF使用

VAF的使用非常简单,下面给出的是当前版本VAF支持的功能选项:

代码语言:javascript
复制
Usage:

  vaf - very advanced fuzzer [options]

Options:

  -h, --help

  -u, --url=URL              选择URL,使用[]替换待模糊测试的位置

  -w, --wordlist=WORDLIST    选择需要使用的字典

  -sc, --status=STATUS        设置需要输出的状态码,设置为“any”将输出所有状态码(默认为200)

  -pr, --prefix=PREFIX        设置前缀(默认为空)

  -sf, --suffix=SUFFIX         设置后缀(默认为空)

  -pd, --postdata=POSTDATA   仅在设置了“-m post”时使用(默认为{})

  -pif, --printifreflexive       仅输出映射在页面中的内容,可用于寻找XSS漏洞

  -ue, --urlencode           对Payload进行URL编码

  -pu, --printurl            打印请求的URL地址

工具运行截图

工具会输出所有页面返回的状态码以及后缀.php或.html,并且不会输出前缀信息。

工具会输出URL地址以及每一个页面返回的状态码,包含后缀.php或.html,并且不会输出前缀信息。

工具执行POST数据模糊测试。

工具使用样例

对POST数据进行模糊测试:

代码语言:javascript
复制
vaf.exe -w example_wordlists\short.txt -u https://jsonplaceholder.typicode.com/posts -m post -sc 201 -pd "{\"title\": \"[]\"}"

对GET URL进行模糊测试:

代码语言:javascript
复制
vaf.exe -w example_wordlists\short.txt -u https://example.org/[] -sf .html

工具提示

在suffixes或prefixes参数中添加一个尾随符,尝试不带任何后缀/前缀的单词,如:-pf.php或-sf.php。

使用-pif和一堆XSS Payload作为字典列表来查找XSS漏洞。

项目地址:点击底部【阅读原文】获取

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-06-11,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 关于VAF
  • 工具安装&编译
  • VAF使用
  • 工具运行截图
  • 工具使用样例
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档