1.Waptit是什么:
Wapiti 是另一个基于终端的 Web 漏洞扫描器,它发送 GET 和 POST 请求给目标站点,来寻找漏洞:
它目前搜索 XSS、SQL 和 XPath 注入、文件包含、命令执行、XXE 注入、CRLF 注入、服务器端请求伪造、开放重定向等漏洞.它使用 Python 3 编程语言开发.
Wapiti项目的地址:https://github.com/wapiti-scanner/wapiti
Wapiti安装:
linux系统安装wapiti
首先运行命令sudo apt-get update更新软件源库
再运行sudo apt-get install wapiti安装wapiti
再运行sudo apt-get -f install安装依赖包,就可以直接使用了
2.Wapiti基本参数:
参数如下:
-x :从扫描中排除特定的 URL,对于登出和密码修改 URL 很实用。
-o :设置输出文件及其格式,如:result.html
-f <type_file>:设置输出文件格式,如:html,json等
-m <module_options>:设置模块进行攻击
-i :从 XML 文件中恢复之前保存的扫描。文件名称是可选的,因为如果忽略的话 Wapiti 从scan文件夹中读取文件。
-a <login%password>:为 HTT