W3AF是阿根廷人 Anfres Riancho所创建的一个开源项目,目的是成为一个Web应用攻击和统计的平台。目前W3AF分为两个主要部分——核心模块和插件部分。
核心模块负责进程的调度和插件的使用,插件部分负责查找并攻击Web安全漏洞。
插件部分:
发现模块(discovery)、审计模块(audit)、搜索模块(grep)、攻击模块(attack)、输出模块(output)、修改模块(mangle)、入侵模块(evasion)、破解模块(bruteforce)
发现模块:
查找HTTP信息,并探测服务器、数据库、Web应用防火墙等,最重要的插件是webSpider。
审计模块:
用来探测漏洞的模块,如SQLi、XSS等
搜索模块:
用来捕获HTTP请求与应答过程中的一些关注信息(IP、Email、信用卡信息、个人信息等)。
攻击模块:
读取前面扫描所获取的扫描信息,通过该类模块中的各种插件来攻击安全漏洞。