行健网络

?找回密码
?立即注册
查看: 3325|回复: 0
打印 上一主题 下一主题

开源的轻量级web漏洞检查工具wapiti

[复制链接]
跳转到指定楼层
楼主
发表于 2014-10-27 16:56:30 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

wapiti是一个轻量级的开源的web应用程序漏洞扫描和安全检测工具,它是“黑盒”方式的扫描,无需关心web应用程序的源代码,直接扫描网页的的部署,查找网页的表单和脚本从中寻找出可注入数据的地方。之所以称它为“轻量级”,是因为它的安全检测过程不需要依赖漏洞数据库,相对来说执行的速度也要快些。 wapiti能够检测以下的web应用程序漏洞:

   

现在最新的版本是wapiti-2.3.0,是2013年11月10发布的,其下载地址是http://sourceforge.net/projects/wapiti/,它的攻击模块主要有:

1、mod_crlf:用于CRLF Injection检测。

2、 mod_exec:用于命令执行检测

3、mod_file:用于文件泄露检测

4、mod_sql:用于数据库注入检测

5、mod_xss:用于跨站脚本检测

6、mod_backup:用于源代码泄露检测

7、mod_htaccess:用于.htaccess文件检测

8、mod_blindsql:用于数据库注入检测

9、mod_permanentxss:用于xss检测

10、mod_nikto

下面是wapiti的各种标准特性:

  • 易于使用而且运行速度很快;
  • 能够生成各种格式的漏洞报告文件;
  • 在扫描或攻击的过程中可以挂起或继续;
  • 可以高亮显示扫描到的漏洞;
  • 支持不同级别的冗余(详细程度);
  • 自定义加载攻击模块;
  • 支持HTTP与HTTPS两种代理;
  • 支持多种身份验证模式:Basic, Digest, Kerberos or NTLM;
  • 能够控制扫描的范围:domain, folder, webpage;
  • 能够防止死循环扫描;
  • 可以排除一些url进行扫描或攻击;
  • 可以从flash文件中提取url(壮哉!);
  • 试图从js中提取url。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|网站地图|行健网络

GMT+8, 2019-10-16 11:14 , Processed in 0.062591 second(s), 16 queries .

Powered by Discuz! X3.2

? 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表