使用wapiti进网站进行安全性测试

1、安装wapiti
--在命令终端输入 pip install wapiti3
(因为这个结合python使用，所以安装的版本要跟python兼容，因为我的python是3.6版本，所以安装的是wapiti3.0.3版本)

2、安装nikto 如何（不安装的话），执行命令时，会出现提示：本地nikto数据库问题   参考：http://www.ddooo.com/softdown/92141.htm

3、安装ActivePerl（因为nikto是依赖ActivePerl环境的）    参考：http://www.ddooo.com/softdown/28027.htm

4、在命令终端输入：
wapiti -u https://www.veryeast.cn/ -o G:\work_test\result -f html 就会对网站进行扫描所有的url请求和表单
扫描完之后，就可以对这些rul 进行专项检测，并生成指定格式的报告（我这里指定的是html格式的）
专项检测有：
mod_crlf,
mod_exec,
mod_file, 文件处理
mod_sql, sql注入
mod_xss, xss跨站攻击
mod_backup,
mod_htaccess,
mod_blindsql, SQL盲注
mod_permanentxss,
mod_nikto,
mod_delay,
mod_buster,
mod_shellshock,
mod_methods,
mod_ssrf,
mod_redirect

5、对扫描出来的curl进行验证

 1、将报告中出现被攻击的curl复制到浏览器打开

 

 

 

2、就会在浏览器中出现（就说明网站存在xss漏洞）：

 

3、进一步验证：

将上图中的：alert%28%27wl30tvjf6t%27%29 替换成：alert(document.cookie)，再次执行就会发现用户cookie信息就被显示出来

 转：https://www.cnblogs.com/zack-dong/p/13294936.html