yzddmr6

+1

目前仅支持form表单形式

本项目的定位在于完全的自动化，只需要填入后台地址列表就可以自动完成表单解析->组合生成payload->智能判断是否爆破成功。适用于大批量自动化检测的场景。 而使用burp则需要半自动+人工来完成，适合单独后台的爆破。 至于为什么一直没有写多线程是因为这个项目适用于各类后台系统，各类网站后台的爆破，并不局限于某一类CMS。可能会被脚本小子拿来作为自动化抓鸡工具，造成危害，所以暂时不考虑添加多线程检测。但其实接口已经留好了，有能力的话完全可以自己改造。 如果觉得单个网站爆破速度过慢，可以减小https://github.com/yzddmr6/WebCrack/blob/master/conf/config.py里面crackConfig 下的delay参数，不过注意发包过快可能导致IP被封禁。

提供一下demo

感谢反馈。毕竟搞杀软的安全人员也会逛github，项目已经开源快两年，被加特征也是正常的。本项目只是抛砖引玉，如果你有好的想法也欢迎PR:)

遇到了无法识别的页面，换人工吧

这个判断是加了一些常见关键字，可以自己在配置文件中添加

目前对于有验证码的后台还无法识别

可以修改配置文件中的代理，用burp查看一下

麻烦贴一下运行环境信息