使用wapiti进网站进行安全性测试

1、安装wapiti
--在命令终端输入 pip install wapiti3
(因为这个结合python使用,所以安装的版本要跟python兼容,因为我的python是3.6版本,所以安装的是wapiti3.0.3版本)

2、安装nikto 如何(不安装的话),执行命令时,会出现提示:本地nikto数据库问题   参考:http://www.ddooo.com/softdown/92141.htm

3、安装ActivePerl(因为nikto是依赖ActivePerl环境的)    参考:http://www.ddooo.com/softdown/28027.htm

4、在命令终端输入:
wapiti -u https://www.veryeast.cn/ -o G:\work_test\result -f html 就会对网站进行扫描所有的url请求和表单
扫描完之后,就可以对这些rul 进行专项检测,并生成指定格式的报告(我这里指定的是html格式的)
专项检测有:
mod_crlf,
mod_exec,
mod_file, 文件处理
mod_sql, sql注入
mod_xss, xss跨站攻击
mod_backup,
mod_htaccess,
mod_blindsql, SQL盲注
mod_permanentxss,
mod_nikto,
mod_delay,
mod_buster,
mod_shellshock,
mod_methods,
mod_ssrf,
mod_redirect

5、对扫描出来的curl进行验证

 1、将报告中出现被攻击的curl复制到浏览器打开

使用wapiti进网站进行安全性测试

 

 使用wapiti进网站进行安全性测试

 

2、就会在浏览器中出现(就说明网站存在xss漏洞):

使用wapiti进网站进行安全性测试

 

3、进一步验证:

将上图中的:alert%28%27wl30tvjf6t%27%29 替换成:alert(document.cookie),再次执行就会发现用户cookie信息就被显示出来

使用wapiti进网站进行安全性测试

 

使用wapiti进网站进行安全性测试

上一篇:C#根据反射动态创建ShowDoc接口文本信息


下一篇:数据库表设计总结