Wfuzz
简介：Wfuzz是一款用来进行web应用暴力猜解的工具，支持对网站目录、登录信息、应用资源文件等的暴力猜解，还可以进行get及post参数的猜解，sql注入、xss漏洞的测试等。该工具所有功能都依赖于字典。
位置：/pentest/web/wfuzz

用法就是把你想进入测试的地方用FUZZ代替

　　用法 1：./wfuzz.py  -c  -z file,字典  --hc 404  --html http://www.xxx.com/FUZZ  2>ok.htm：猜解子目录，在挂载字典时在 wfuzz目录下有一个wordlist目录中有很多自带的字典
　　用法 2：./wfuzz.py  -c  -z range  -r 1-100  --hc 404  --html http://www.xxx.com/xxx.asp?id=FUZZ 2>ok.html
　　用法 3：./wfuzz.py  -c  -z file,字典  -d "login=admin&pwd=FUZZ"  --hc 404 http://www.xxx.com/login.php 

注释：--hc 404：指忽略服务器返回的404页面；

　　　--html：把扫描结果输出为html页面

通过以上了解原理！