现在再给大家介绍一款GUI版WEB安全工具，W3AF是一个web应用安全的攻击、审计平台，通过增加插件来对功能进行扩展，这是一款用python写的工具，支持GUI，也支持命令行模式。

W3AF目前已经集成了非常多的安全审计及攻击插件，并进行了分类，小菜们在使用的时候，可以直接选择已经分类好的插件，只需要填写上URL地址就可以对目标站点进行安全审计了，是一款非常好使用的工具，并且集成了一些好用的小工具，如自定义request功能、Fuzzy request功能、代理功能、加解密功能，支持非常多的加解密算法，我们完全可以使用W3AF就完成对一个网址的安全审计工作。

W3AF在 BackTrack4 R2下已经内置，具体调用方法如下图-1所示：通过依次选择菜单中"Backtrack"-" Web Application Analysis"-"Web（fronted）"-"W3AF(GUI)"即可打开W3AF的图形版本。

图-1

大家跟着我们的步骤来慢慢认识W3AF吧！

W3AF使用方法

首先认识W3AF的整个界面布局，我们打开W3AF-GUI之后，可以看到如下图-2的布局界面。

图-2

如上图-2所示，最左边的profiles是已经定义好的一些插件，并根据不同的类型进行了分类，中间的plugin是我们所有可用的插件，允许我们自己定义要检查的内容，中间偏下的output指的是我们结果的保存方式，Target指的是我们要进行评估的目标URL，还有就是上面的一些选项，如Tools是一些小工具，configuration是一些扫描时的配置等，中间的标题栏是把一些常用工具及选项用图标列出来了，如 这个图标，是以向导的方式引导你填写一个评估的profile，并开始一个评估任务。 是TOOLS里的一个Request工具等。W3AF工具使用简单，界面布局简单，功能确非常强大，需要小菜们好好发掘呀。