一、 概念
wapiti 英[ˈwɒpɪti], 麋鹿
wapiti采用python编写,且是开源的,因此系统中要先安装好python。
wapiti官网地址:http://wapiti.sourceforge.net,如下图示:
上图中“The web-application vulnerability scanner”翻译成中文:web应用程序漏洞扫描器。
vulnerability 英[ˌvʌlnərə'bɪlətɪ] n. 弱点,攻击; 易伤性; 致命性; 脆弱性
Wapiti是另一个基于终端的Web漏洞扫描程序,它将GET和POST请求发送到目标站点以寻找以下漏洞:
文件纰漏
数据库注入
跨站点脚本(XSS)
命令执行检测
CRLF注射
XML外部实体(XXE)注入
使用已知的潜在危险文件
可绕过的弱.htaccess配置
存在提供敏感信息的备份文件(源代码公开)
在本节中,将使用Wapiti发现一个测试应用程序中的漏洞并生成扫描报告。