1.Waptit是什么:

Wapiti 是另一个基于终端的 Web 漏洞扫描器,它发送 GET 和 POST 请求给目标站点,来寻找漏洞:
它目前搜索 XSS、SQL 和 XPath 注入、文件包含、命令执行、XXE 注入、CRLF 注入、服务器端请求伪造、开放重定向等漏洞.它使用 Python 3 编程语言开发.
Wapiti项目的地址:https://github.com/wapiti-scanner/wapiti

Wapiti安装:

linux系统安装wapiti
首先运行命令sudo apt-get update更新软件源库
再运行sudo apt-get install wapiti安装wapiti
再运行sudo apt-get -f install安装依赖包,就可以直接使用了

2.Wapiti基本参数:

参数如下:

-x :从扫描中排除特定的 URL,对于登出和密码修改 URL 很实用。
-o :设置输出文件及其格式,如:result.html
-f <type_file>:设置输出文件格式,如:html,json等
-m <module_options>:设置模块进行攻击
-i :从 XML 文件中恢复之前保存的扫描。文件名称是可选的,因为如果忽略的话 Wapiti 从scan文件夹中读取文件。
-a <login%password>:为 HTTP 登录使用特定的证书。
–auth-method :为-a选项定义授权方式,可以为basic,digest,kerberos 或 ntlm。
-s :定义要扫描的 URL。
-p <proxy_url>:使用 HTTP 或 HTTPS 代理

实践操作

 wapiti -u "https://www.kbs.co.kr/"

wapiti扫描完,会生成一个html报告
从扫描结果可以看到有一个漏洞是"内容安全策略配置"

内容安全策略配置是什么:

通过从服务器注入 Content-Security-Policy (CSP) 标头,浏览器意识到并能够保护用户免受将内容加载到当前正在访问的页面中的动态调用。
详细的信息可以参考;OWASP 备忘单系列文档:
https://cheatsheetseries.owasp.org/cheatsheets/Content_Security_Policy_Cheat_Sheet.html
这里就不进行漏洞演示了,因为我们要遵守网络安全法.

总结:

以上就是本章内容,主要介绍了Wapiti是什么以及使用方法和实践操作.喜欢的话请点个赞.

Wapiti是什么以及使用教程相关推荐

  1. 使用Docker搭建svn服务器教程

    使用Docker搭建svn服务器教程 svn简介 SVN是Subversion的简称,是一个开放源代码的版本控制系统,相较于RCS.CVS,它采用了分支管理系统,它的设计目标就是取代CVS.互联网上很 ...

  2. mysql修改校对集_MySQL 教程之校对集问题

    本篇文章主要给大家介绍mysql中的校对集问题,希望对需要的朋友有所帮助! 推荐参考教程:<mysql教程> 校对集问题 校对集,其实就是数据的比较方式. 校对集,共有三种,分别为:_bi ...

  3. mysql备份psb文件怎么打开_Navicat for MySQL 数据备份教程

    原标题:Navicat for MySQL 数据备份教程 一个安全和可靠的服务器与定期运行备份有密切的关系,因为错误有可能随时发生,由攻击.硬件故障.人为错误.电力中断等都会照成数据丢失.备份功能为防 ...

  4. php rabbmq教程_RabbitMQ+PHP 教程一(Hello World)

    介绍 RabbitMQ是一个消息代理器:它接受和转发消息.你可以把它当作一个邮局:当你把邮件放在信箱里时,你可以肯定邮差先生最终会把邮件送到你的收件人那里.在这个比喻中,RabbitMQ就是这里的邮箱 ...

  5. 【置顶】利用 NLP 技术做简单数据可视化分析教程(实战)

    置顶 本人决定将过去一段时间在公司以及日常生活中关于自然语言处理的相关技术积累,将在gitbook做一个简单分享,内容应该会很丰富,希望对你有所帮助,欢迎大家支持. 内容介绍如下 你是否曾经在租房时因 ...

  6. Google Colab 免费GPU服务器使用教程 挂载云端硬盘

    一.前言 二.Google Colab特征 三.开始使用 3.1在谷歌云盘上创建文件夹 3.2创建Colaboratory 3.3创建完成 四.设置GPU运行 五.运行.py文件 5.1安装必要库 5 ...

  7. 理解和实现分布式TensorFlow集群完整教程

    手把手教你搭建分布式集群,进入生产环境的TensorFlow 分布式TensorFlow简介 前一篇<分布式TensorFlow集群local server使用详解>我们介绍了分布式Ten ...

  8. 高级教程: 作出动态决策和 Bi-LSTM CRF 重点

    https://www.zhihu.com/question/35866596 条件随机场 CRF(条件随机场)与Viterbi(维特比)算法原理详解 https://blog.csdn.net/qq ...

  9. PyTorch 高级实战教程:基于 BI-LSTM CRF 实现命名实体识别和中文分词

    20210607 https://blog.csdn.net/u011828281/article/details/81171066 前言:译者实测 PyTorch 代码非常简洁易懂,只需要将中文分词 ...

最新文章

  1. linux 将test.log中第1行的所有都替换成,【Linux面试题7】三剑客笔试题集合
  2. day24-1 元类
  3. shell 脚本逻辑判断
  4. MongoDB:GridFS删除方法删除存储桶中的所有文件
  5. spring生命周期七个过程_Spring杂文(三)Spring循环引用
  6. LVM+Xen虚拟化应用
  7. 排除表_【收藏】常见电气故障及排除故障方法
  8. Rancher获4000万美元D轮融资,推动计算无处不在
  9. UI自动化测试之元素定位
  10. PTA 发布关于巴基斯坦境内允许的频段和输出功率限制新规
  11. 多人在线匿名聊天室/私人聊天室源码/支持同时创建多个聊天室
  12. ssd硬盘 速度慢 linux,Linux 对SSD硬盘优化的方法
  13. 宝付正式执行“适当降低小微企业支付手续费”工作部署任务
  14. 数据中心架构,如何节省运营成本,机房冷却方面减少压力?
  15. 天空盒里放风筝,OpenGL就这么任性:想怎么放,就怎么放!
  16. Markdown简单操作
  17. 牛人林达华推荐有关机器学习的数学书籍
  18. 分布式图计算系统与算法简单文献综述
  19. Vue3 vue-cli、create-react-app、vite 创建vue/react项目(笔记)
  20. python多线程抢红包代码_Python有哪些神一般的骚操作? 远远不止抢车票、抢红包《附代码》...

热门文章

  1. Unity3D优化技巧系列二
  2. Python_算术运算符
  3. element ui分页器
  4. 金融科技博物馆更名,中国区块链产业发展指数(BDI)启动编制
  5. redis 存储对象 的三种方式
  6. easyui的DataGrid DetailView详细表格查看
  7. django.views.generic通用视图的CreateView, ListView, UpdateView, DetailView, DeleteView用法
  8. 美国国家地理协会和Esri的地理网
  9. 计算机故障维修要遵循什么原则,计算机故障排除原则和方法
  10. c++继承与派生(设计一个圆类Circle和一个桌子类Table,另设计一个圆桌类Roundtable,它是前面两个类的派生类,要求编写测试程序给出输出一个圆桌的高度、面积和颜色等数据。)