Wapiti是一个开源的安全测试工具,可用于Web应用程序漏洞扫描和安全检测。Wapiti是用Python编写的脚本,使用它需要Python的支持,也就是说要先安装好Python。Wapiti执行的是“黑盒”方式的扫描,也就是说直接对网页进行扫描,而不需要扫描Web应用程序的源代码。Wapiti通过扫描网页的脚本和表单,查找可以注入数据的地方,Wapiti能检测以下漏洞:文件处理错误,数据库注入(包括PHP/JSP/ASP SQL注入和XPath注入),XSS(跨站脚本)注入,LDAP注入,命令执行检测(例如,eval(),system(),passtru()等),CRLF注入,之所以Wapiti称之为轻量级,是因为它的安全检测过程不需要依赖漏洞数据库,因此执行的速度会更快些。Wapiti给我的感觉是“What a pity!”的意思,一个功能完整的Web应用,如果在安全方面有漏洞的话,就真的是“What a pity!” |