Wapiti是Web應(yīng)用程序漏洞錯(cuò)誤檢查工具。它具有“暗箱操作”掃描，即它不關(guān)心Web應(yīng)用程序的源代碼，但它會(huì)掃描網(wǎng)頁的部署，尋找使其能夠注入數(shù)據(jù)的腳本和格式。它用于檢測網(wǎng)頁，看腳本是否脆弱的。
Wapiti是一個(gè)開源的安全測試工具，可用于Web應(yīng)用程序漏洞掃描和安全檢測，可到http://sourceforge.net/projects/wapiti/下載。

開發(fā)語言： Python
軟件主頁： http://www.ict-romulus.eu/web/wapiti/home
下載地址： http://sourceforge.net/projects/wapiti/

Wapiti是用Python編寫的腳本，使用它需要Python的支持，也就是說要先安裝好Python。

Wapiti執(zhí)行的是“黑盒”方式的掃描，也就是說直接對網(wǎng)頁進(jìn)行掃描，而不需要掃描Web應(yīng)用程序的源代碼。Wapiti通過掃描網(wǎng)頁的腳本和表單，查找可以注入數(shù)據(jù)的地方，Wapiti能檢測以下漏洞：

功能和特點(diǎn)
文件處理錯(cuò)誤(本地和遠(yuǎn)程打開文件，readfile ... )
數(shù)據(jù)庫注入(PHP/JSP/ASP，SQL和XPath注入)
XSS(跨站點(diǎn)腳本)注入
LDAP注入
命令執(zhí)行檢測(eval(), system(), passtru()...)
CRLF注射入(HTTP響應(yīng)，session固定... )
統(tǒng)計(jì)漏洞數(shù)量
成功襲擊的細(xì)節(jié)
漏洞詳細(xì)信息
提供解決漏洞的方法
HTML報(bào)告格式
XML報(bào)告格式

之所以把Wapiti稱之為輕量級，是因?yàn)樗陌踩珯z測過程不需要依賴漏洞數(shù)據(jù)庫，因此執(zhí)行的速度會(huì)更快些。
Wapiti給我的感覺是“What a pity！”的意思，一個(gè)功能完整的Web應(yīng)用，如果在安全方面有漏洞的話，就真的是“What a pity！”

最新評論