YAWAST – 开源 Web 应用程序信息收集工具包

YAWAST 是 Yet Another Web Application Security Tester 的简称，是一款开源的 Web 应用程序信息收集工具包，专注于帮助安全专家和开发人员发现与Web应用程序有关的安全问题。

特点

• 支持多种操作系统，包括 Windows、Linux、Mac OS X。
• 基于 Python 编写，易于安装和使用。
• 提供多种扫描方式，包括 DNS 探测、域名和 IP 地址信息收集、Web 服务器识别、SSL/TLS 分析、HTTP 响应分析等。
• 支持自定义脚本，可根据实际需要添加额外的功能。
• 提供多种输出格式，包括 HTML、XML、JSON、TXT 和 Markdown。

安装

1. 从 GitHub 上下载最新版本的 YAWAST 工具包：

$ git clone https://github.com/adamcaudill/yawast.git

2. 进入 yawast 目录，安装依赖项：

$ cd yawast
$ pip3 install -r requirements.txt

3. 运行 yawast 工具：

$ python3 yawast.py

使用

运行 YAWAST 工具时，需要提供一个目标 URL，例如：

$ python3 yawast.py https://www.example.com/

YAWAST 工具会自动进行 DNS 探测、端口扫描和 Web 服务器识别，然后输出结果。您还可以通过命令行选项或配置文件自定义扫描方式和输出格式。

以下是部分命令行选项的说明：

• -a：启用全面扫描模式。
• -b：指定浏览器路径，用于执行 XSS 和代码注入测试。
• -c：指定自定义配置文件。
• -d：启用调试模式。
• -f：指定输出格式，可选值为 html、json、xm、txt 或 md。
• -h：显示帮助信息。
• -i：指定 IP 地址，用于指定扫描服务器地址。
• -o：指定输出文件。

示例

以下是对 example.com 进行全面扫描并输出 Markdown 格式的示例：

$ python3 yawast.py https://www.example.com/ -a -f md -o example.md

结论

YAWAST 是一款功能强大、灵活易用的 Web 应用程序信息收集工具包，支持多种操作系统和输出格式，可以帮助您发现和解决 Web 应用程序安全问题。它的开源性质和自定义脚本功能，还为您提供了更多的扩展和个性化选择。如果您需要对 Web 应用程序进行安全检测或信息收集，那么 YAWAST 是一款不容错过的工具。