Wapiti 是一套 OpenSource 的站点漏洞检测工具,比较特殊的是,它并不依赖特征数据库,也因此扫描的速度相当快,而探测的则是一些共通性问题,或是作者所宣称的未知漏洞。Wapiti 其实是一只 Python Script,可在多数平台运行,在网页开发过程中,用这套工具反复进行测试,以便初步修饰一些问题,算是相当快速而方便,,WapitiMILY: 宋体">能检测以下漏洞:
·文件处理错误。
·数据库注入(包括PHP/JSP/ASP SQL注入和XPath注入)。
·XSS(跨站脚本)注入。
·LDAP注入。
命令执行检测(例如,eval(),system(),passtru()等)。
CRLF注入。
文件处理瑕疵
能执行的系统命令
Database Injection
XSS Injection
LDAP Injection
CRLF (换行字符) Injection
建议采用 Python 2.5 来执行,已内含所需之 ctypes,我用一个正在开发中的站点测试,很快就找出了两个当初偷懒而衍生的问提,测试画面 :
最新内容请见作者的GitHub页:http://qaseven.github.io/
相关资源:敏捷开发V1.0.pptx
