w3af 中文文档

前言

本文档为对 w3af 官方文档的翻译，除了将英文内容完全通过中文呈现出来外，还会加一些我对部分内容的理解。若后续时间充裕还会写一些源码分析。

相关素材

• w3af 官网
• w3af 官方文档
• w3af 项目仓库

欢迎来到w3af中文文档

本文档是 Web 应用程序攻击和审计框架（w3af）的用户指南，撰写本文档的目的是提供w3af的基本概述、工作原理以及使用说明。

w3af 是审计和利用Web应用程序的完整环境。这个环境为 Web 漏洞评估和渗透测试提供了一个可靠的平台。

目录

• w3af 的安装
• • 安装前的准备
• • 安装
• • 支持平台
• • 在Kali中安装
• • 使用Docker安装
• • 使用Mac OSX安装
• • 故障排除
• 高级安装
• • 开发版 vs 稳定版
• • 使用 virtualenv 安装
• 更新至最新版
• • 手动更新
• • 自动更新功能
• • git 分支
• 介绍
• • 主要插件类型
• • 其他插件
• • 扫描配置
• • 配置建议
• 运行 w3af
• • 运行 w3af 图形界面
• • 插件配置
• • 保存配置
• • 开始扫描
• 自动化使用脚本
• • VIM 语法文件
• 认证
• • 基础NTLM身份认证
• • 表单认证
• • 设置 HTTP Cookie
• • 设置 HTTP 头
• 常见用例
• • 只扫描一个目录
• • 保存URL并将其作为其他扫描的输入
• 高级用例
• • 复杂 Web 应用
• • REST API
• • 选择要忽略的表单
• docker 中的 w3af
• • 端口和服务
• • 与容器共享数据
• • 调试容器
• 利用 Web 应用漏洞
• Web 应用 payload
• • 介绍
• • 运行 Web 应用 payload
• • 通过肉鸡进行流量代理
• Bug 报告
• • 优质 bug 报告案例
• • 基础调试信息
• • 漏报
• • 误报
• • 常见问题
• • 过时的配置文件
• 贡献力量

GUI 文档

• GUI 介绍
• • 内容
• • • 通用结构
• • • 扫描
• • • 分析结果
• • • Exploitation
• • • 工具
• • • 配置

REST API 文档

• REST API 介绍
• • 启动 REST API 服务
• • 认证
• • 配置文件格式
• • 服务使用 TLS/SSL
• • REST API 源代码
• • REST API 客户端
• • 服务使用 TLS/SSL
• • API endpoints
• • • /scans/ 资源
• • • /kb/ 资源
• • • /version 资源
• • • /traffic/ 资源
• • • /urls/ 资源
• • • /fuzzable-requests/ 资源
• • • /exceptions/ 资源

高级技巧（tips）和窍门（tricks）

• 高级技巧（tips）和窍门（tricks）
• • 内存使用和缓存