W3AF是阿根廷人 Anfres Riancho所創建的一個開源項目,目的是成為一個Web應用攻擊和統計的平台。目前W3AF分為兩個主要部分——核心模塊和插件部分。
核心模塊負責進程的調度和插件的使用,插件部分負責查找並攻擊Web安全漏洞。
插件部分:
發現模塊(discovery)、審計模塊(audit)、搜索模塊(grep)、攻擊模塊(attack)、輸出模塊(output)、修改模塊(mangle)、入侵模塊(evasion)、破解模塊(bruteforce)
發現模塊:
查找HTTP信息,並探測服務器、數據庫、Web應用防火牆等,最重要的插件是webSpider。
審計模塊:
用來探測漏洞的模塊,如SQLi、XSS等
搜索模塊:
用來捕獲HTTP請求與應答過程中的一些關注信息(IP、Email、信用卡信息、個人信息等)。
攻擊模塊:
讀取前面掃描所獲取的掃描信息,通過該類模塊中的各種插件來攻擊安全漏洞。