W3af là một framework giúp kiểm tra và xác định các lỗ hổng trong các ứng dụng web. Công cụ này đi kèm với một số plugin hữu ích để quét một trang web với hơn 200 lỗ hổng công khai. Các plugin hiện có sẵn bao gồm kiểm tra, xác thực, bruteforce, thu thập thông tin, trốn, grep và cơ sở hạ tầng. Mỗi plugin có một bộ mục tiêu quét khác nhau. Ví dụ, plugin kiểm toán cung cấp tùy chọn quét một trang web cho một số lỗ hổng, chẳng hạn như SQL Injection, lỗ hổng tràn bộ nhớ đệm, lỗ hổng shell shock, XSS, extension của trang, lừa đảo và lệnh thực thi trên OS. Tương tự, plugin thu thập dữ liệu quét ứng dụng web mục tiêu để khai thác backdoor, các vấn đề trong directory hiện hành và lỗ hổng directory con.
