Wapiti, o scanner de vulnerabilidades de sites e aplicativos web.
O que é, e o que faz?
Wapiti permite auditar a segurança de seus sites ou aplicativos da web.
Ele executa varreduras de black-box" (não estuda o código-fonte) do aplicativo da web, rastreando as páginas do aplicativo da web implantado, procurando scripts e formulários onde possa injetar dados.
O Wapiti suporta métodos GET e POST HTTP para ataques. Ele também oferece suporte a formulários multipartes e pode injetar cargas úteis em nomes de arquivos (upload).
Os avisos são gerados quando uma anomalia é encontrada (por exemplo, 500 erros e tempos limite).
O Wapiti é capaz de fazer a diferença entre vulnerabilidades XSS permanentes e refletidas.
Repositório oficial: https://wapiti-scanner.github.io/
Instalando o Wapiti:
É possível instalar via python ou realizar o donwload do repositório oficial:
OBS: No Kali Linux ele vem nativo.
Instalação via Python:
pip instalar wapiti3
Instalação via repositório:
Gerando o relatório de vulnerabilidade:
No terminal de sua distribuição, digite "wapiti -u <URL>".
O exemplo abaixo utilizei a url da Web Security Academy, ficando da seguinte forma:
Pressione "enter" e aguarde a varredura:
Ao finalizar, o Wapiti vai informar o local do retório que será salvo em .html.
Retornará algo como: