Wapiti是Web應用程序漏洞錯誤檢查工具。它具有“暗箱操作”掃描，即它不關心Web應用程序的源代碼，但它會掃描網(wǎng)頁的部署，尋找使其能夠注入數(shù)據(jù)的腳本和格式。它用于檢測網(wǎng)頁，看腳本是否脆弱的。
Wapiti是一個開源的安全測試工具，可用于Web應用程序漏洞掃描和安全檢測，可到http://sourceforge.net/projects/wapiti/下載。

開發(fā)語言： Python
軟件主頁： http://www.ict-romulus.eu/web/wapiti/home
下載地址： http://sourceforge.net/projects/wapiti/

Wapiti是用Python編寫的腳本，使用它需要Python的支持，也就是說要先安裝好Python。

Wapiti執(zhí)行的是“黑盒”方式的掃描，也就是說直接對網(wǎng)頁進行掃描，而不需要掃描Web應用程序的源代碼。Wapiti通過掃描網(wǎng)頁的腳本和表單，查找可以注入數(shù)據(jù)的地方，Wapiti能檢測以下漏洞：

功能和特點
文件處理錯誤(本地和遠程打開文件，readfile ... )
數(shù)據(jù)庫注入(PHP/JSP/ASP，SQL和XPath注入)
XSS(跨站點腳本)注入
LDAP注入
命令執(zhí)行檢測(eval(), system(), passtru()...)
CRLF注射入(HTTP響應，session固定... )
統(tǒng)計漏洞數(shù)量
成功襲擊的細節(jié)
漏洞詳細信息
提供解決漏洞的方法
HTML報告格式
XML報告格式

之所以把Wapiti稱之為輕量級，是因為它的安全檢測過程不需要依賴漏洞數(shù)據(jù)庫，因此執(zhí)行的速度會更快些。
Wapiti給我的感覺是“What a pity！”的意思，一個功能完整的Web應用，如果在安全方面有漏洞的話，就真的是“What a pity！”

最新評論