Vaf Web fuzzer

admin
admin
admin
101095
文章
87
评论
2022年10月26日09:06:01评论39 views字数 1792阅读5分58秒阅读模式

Vaf Web fuzzer

vaf 是一个具有很多功能的跨平台网络模糊器。它的一些功能包括:

  • 快速穿线

  • HTTP 标头模糊测试

  • 代理


安装

您可以使用此单线安装 vaf:

curl https://raw.githubusercontent.com/d4rckh/vaf/main/install.sh | sudo bash


Options:  -h, --help  -u, --url=URL              Target URL. Replace fuzz area with FUZZ  -w, --wordlist=WORDLIST    The path to the wordlist.  -m, --method=METHOD        Request method. Supported: POST, GET (default: GET)  -H, --header=HEADER        Specify HTTP headers; can be used multiple times. Example: -H 'header1: val1' -H 'header1: val1'  -pf, --prefix=PREFIX       The prefixes to append to the word (default: )  -sf, --suffix=SUFFIX       The suffixes to append to the word (default: )  -t, --threads=THREADS      Number of threads (default: 5)  -sc, --status=STATUS       The status to filter; to 'any' to print on any status (default: 200)  -g, --grep=GREP            Only log if the response body contains the string (default: )  -ng, --notgrep=NOTGREP     Only log if the response body does no contain a string (default: )  -pd, --postdata=POSTDATA   Specify POST data; used only if '-m post' is set (default: {})  -x, --proxy=PROXY          Specify a proxy (default: )  -ca, --cafile=CAFILE       Specify a CA root certificate; useful if you are using Burp/ZAP proxy (default: )  -o, --output=OUTPUT        Output the results in a file (default: )  -mr, --maxredirects=MAXREDIRECTS                             How many redirects should vaf follow; 0 means none (default: 0)  -v, --version              Print version information  -pif, --printifreflexive   Print only if the fuzzed word is reflected in the page  -i, --ignoressl            Do not verify SSL certificates; useful if you are using Burp/ZAP proxy  -ue, --urlencode           URL encode the fuzzed words  -pu, --printurl            Print the requested URL  -ph, --printheaders        Print response headers  -dbg, --debug              Prints debug information


例子

Fuzz URL 路径,仅显示返回 200 OK 的响应

vaf -u https://example.org/FUZZ -w path/to/wordlist.txt -sc OK

Fuzz 'User-Agent' 标头,仅显示返回 200 OK 的响应

vaf -u https://example.org/ -w path/to/wordlist.txt -sc OK -H "User-Agent: FUZZ"

Fuzz POST 数据,仅显示返回 200 OK 的响应

vaf -u https://example.org/ -w path/to/wordlist.txt -sc OK -m POST -H "Content-Type: application/json" -pd '{"username": "FUZZ"}'


原文始发于微信公众号(Khan安全攻防实验室):Vaf Web fuzzer

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月26日09:06:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Vaf Web fuzzerhttps://cn-sec.com/archives/1372167.html

发表评论

匿名网友 填写信息