OWASP OWTF Web测试框架（暂无资源）

OWASP OWTF是一个专注于渗透测试效率和安全测试与OWASP测试指南（v3和v4），OWASP Top 10，PTES和NIST等安全标准一致的项目。

更有效地查找，验证和组合漏洞有时间调查复杂的漏洞，如业务逻辑/架构漏洞或虚拟主机会话对看起来有风险的地区进行更多的战术/目标模糊测试尽管我们通常会给予测试的时间很短，但仍能证明真实的影响。该工具是高度可配置的，任何人都可以简单地创建简单的插件或在配置文件中添加新测试，而无需任何开发经验。

注意：这个工具不是一个silverbullet，只会和使用它的人一样好：理解和经验将需要正确解释工具的输出，并决定进一步调查以展示影响。

OWTF是在KaliLinux和macOS上开发的，但它是为Kali Linux（或其他Debian衍生产品）开发的，

OWTF同时支持Python2和Python3。

安装

推荐：

强烈推荐使用virtualenv！

pip install git+https://github.com/owtf/owtf#egg=owtf 或克隆回购和 python setup.py install

要在Windows或MacOS上运行OWTF，请使用提供的Dockerfile（需要安装Docker）来尝试。

OWTF：

make docker-build

make docker-run

打开~/.owtf/conf并更改SERVER_ADDR: 127.0.0.1为SERVER_ADDR: 0.0.0.0。

创建一个virtualenv virtualenv env并激活它source env/bin/activate。

安装并运行OWTF

打开localhost:8009OWTF Web界面。

在OSX上安装

为了运行这些工具，安装它们并将OWTF配置~/.owtf/conf/general.cfg指向正确的位置。

特征

弹性：如果一个工具崩溃OWTF，将移动到下一个工具/测试，保存该工具的部分输出，直到它崩溃。

灵活性：暂停并恢复您的工作。

测试分离：OWTF将其目标流量分为3类插件：

被动：没有流量进入目标

半被动：正常流量到达目标

活动：直接漏洞探测

广泛的REST API。

几乎完成了OWASP测试指南（v3，v4），前10名，NIST和CWE的覆盖。

Web界面：轻松管理大型渗透事件。

互动报告：

工具输出中的自动插件排名，可由用户完全配置。

可配置的风险排名

每个插件的在线笔记编辑器。