wapiti3:工具使用

wapiti3 来源 描述 Wapiti允许您审核网站或Web应用程序的安全性。 它通过对已部署的Web应用程序的网页进行爬网，查找可以在其中注入数据的脚本和表单来对Web应用程序执行“黑盒”扫描（不研究源代码）。 一旦获得URL，表单及其输入的列表，Wapiti就像一个模糊器，注入有效负载以查看脚本是否易受攻击 截屏 功能 文件公开（本地和远程包含/需要，fopen，readfile ...） 数据库注入（PHP / JSP / ASP SQL注入和XPath注入） XSS（跨站点脚本）注入（反映的和永久的） 命令执行检测（eval（），system（），passtru（）...） CRLF注入（HTTP响应拆分，会话固定...） XXE（XML外部实体）注入 SSRF（服务器端请求伪造） 使用已知的潜在危险文件（感谢Nikto数据库） 可以绕开的.htaccess弱配