探索Web安全的新篇章：GOWAPT - Go Web Application Penetration Test

GOWAPT是面向Web应用渗透测试的强力工具，它是知名工具wfuzz的兄弟，为测试人员提供了无压力的大量活动执行方案，只需简单的配置即可启动深度扫描。

安装与使用

安装GOWAPT非常简单，只需在终端中运行以下命令：

make
sudo make install

使用GOWAPT时，通过-h选项查看帮助菜单，并使用提供的参数来定制你的请求：

Usage of gowapt:
  -H value
    	A list of additional headers
  -a string
    	Basic authentication (user:password)
  -c string
    	A list of cookies
  -d string
    	POST数据用于请求
  -e string
    	编码器列表（默认："plain"）
  -f string
    	结果过滤器
  -from-proxy
    	通过代理服务器获取请求
  -fuzz
     使用内置模糊测试功能
  -p string
     使用上游代理
  -plugin-dir string
     扫描模块目录
  -scanner
     运行扫描模式
  -ssl
     使用SSL
  -t string
     请求模板
  -threads int
     线程数（默认：10）
  -u string
     要模糊测试的URL
  -w string
     单词列表文件
  -x string
     扩展名，如example.js

示例

• 扫描http://www.example.com并过滤所有状态码为200的响应：

  gowapt -u "http://www.example.com/FUZZ" -w wordlist/general/common.txt -f "code == 200"
  

• 对URL参数vuln进行XSS检测（假设正常请求返回200状态）：

  gowapt -u "http://www.example.com/?vuln=FUZZ" -w wordlist/Injections/XSS.txt -f "tags > 200"
  

应用场景与技术优势

GOWAPT广泛应用于Web应用的安全评估和漏洞发现。它适合对任何需要进行安全测试的网站或API进行深度测试。其强大的功能包括：

• 自定义配置：通过设置各种参数，你可以控制请求的方式，如添加头信息、使用基本认证或通过代理。
• 模糊测试：内置模糊测试引擎可以有效发现基于输入的漏洞。
• 插件系统：通过JavaScript扩展，你可以编写自己的扫描模块，进一步提升GOWAPT的功能。
• HTTP拦截：使用JS API创建HTTP拦截器，实现对请求和响应的动态操作。
• 线程控制：可自由调整线程数量以优化速度与资源利用。

项目特点

GOWAPT的亮点在于其灵活性和易用性：

• 简洁的命令行接口：易于理解和使用，即使是初学者也能快速上手。
• 广泛的编码器支持：提供多种常见的字符编码方式，覆盖了常见的Web应用安全测试需求。
• 高效的过滤系统：可以根据响应的多个属性（如标签数量、状态代码等）进行精确过滤。
• 插件化设计：JavaScript API使得扩展和自定义成为可能，无需深入Go语言本身就能增强工具功能。
• 扫描模式：新增的扫描模式让自动化扫描变得轻松。

许可证

GOWAPT遵循GPLv3许可证，由Daniele 'dzonerzy' Linguaglossa授权并维护。

GOWAPT不仅是一个工具，更是一种探索Web安全新方法的机会。现在就加入我们，一同发掘隐藏在Web应用深处的秘密！