wapiti3
来源
描述
Wapiti允许您审核网站或Web应用程序的安全性。
它通过对已部署的Web应用程序的网页进行爬网,查找可以在其中注入数据的脚本和表单来对Web应用程序执行“黑盒”扫描(不研究源代码)。
一旦获得URL,表单及其输入的列表,Wapiti就像一个模糊器,注入有效负载以查看脚本是否易受攻击
截屏
功能
文件公开(本地和远程包含/需要,fopen,readfile ...)
数据库注入(PHP / JSP / ASP SQL注入和XPath注入)
XSS(跨站点脚本)注入(反映的和永久的)
命令执行检测(eval(),system(),passtru()...)
CRLF注入(HTTP响应拆分,会话固定...)
XXE(XML外部实体)注入
SSRF(服务器端请求伪造)
使用已知的潜在危险文件(感谢Nikto数据库)
可以绕开的.htaccess弱配
1