Wapiti 是一套 OpenSource 的站點漏洞檢測工具,比較特殊的是,它并不依賴特征
數據庫,也因此掃描的速度相當快,而探測的則是一些共通性問題,或是作者所宣稱的未知漏洞。Wapiti 其實是一只
Python Script,可在多數平臺運行,在網頁開發過程中,用這套工具反復進行
測試,以便初步修飾一些問題,算是相當快速而方便,,WapitiMILY: 宋體">能檢測以下漏洞:
·文件處理錯誤。
·數據庫注入(包括PHP/JSP/ASP
SQL注入和XPath注入)。
·XSS(跨站腳本)注入。
·LDAP注入。
命令執行檢測(例如,eval(),system(),passtru()等)。
CRLF注入。
文件處理瑕疵
能執行的系統命令
Database Injection
XSS Injection
LDAP Injection
CRLF (換行字符) Injection
建議采用 Python 2.5 來執行,已內含所需之 ctypes,我用一個正在開發中的站點測試,很快就找出了兩個當初偷懶而衍生的問提,測試畫面 :