第一种方法:
root@kali:~# wapiti http://www.xxxoootest.com/ --v 2
第二种,需密码认证:
wapiti http://www.xxxoootest.com -a admin%password --v 2
第三种种方法,带cookie跑:
Step 1)可以使用下面命令生成cookie
root@kali:~# python /usr/share/wapiti/getcookie.py ~/cookie.txt http://www.xxxoootest.com/
注意两点:
1. url必须以http://开头,否则报错
2. url可能需要以/结尾
Step 2)使用下面命令check漏洞
root@kali:~# wapiti http://www.xxxoootest.com/ --cookie cookie.txt --v 2
Wapiti-1.1.6 (wapiti.sourceforge.net)
http://www.xxxoootest.com/
http://www.xxxoootest.com/index.php
Attacking urls (GET)...
-----------------------
Attacking forms (POST)...
-------------------------
+ http://www.xxxoootest.com/index.php
{'uname': 'http://www.google.fr/', 'psw': 'on', 'btnLogin': 'Login'}
分享到:
相关推荐
命令执行检测(eval(),system(),passtru()...) CRLF注入(HTTP响应拆分,会话固定...) XXE(XML外部实体)注入SSRF(服务器端请求伪造) 使用已知的潜在危险文件(感谢Nikto数据库) 可以绕开的.htaccess...
网页漏洞扫描
参考:http://blog.csdn.net/Testing_is_believing/archive/2008/01/22/2060120.aspx
wapiti-scanner.github.io:Wapiti Web漏洞扫描程序的网站
麋鹿 Wapiti是一名Web应用程序安全审核员。 要求 为了正常工作,Wapiti需要: ...可以暂停和恢复扫描或攻击(使用sqlite3数据库的会话机制)。 可以在终端上给您颜色以突出显示漏洞。 详细程度不同。
Wapiti是用于Web应用程序的漏洞扫描程序。
该项目的目的是在debian wheezy 7.8上创建完整,易于使用的OpenVAS8安装,并以兼容/推荐的版本-dirb,nikto,redis,nmap,wapiti安装所有必需的附加软件包。 Arachni已安装在最新版本中。 似乎OpenVAS不再与此产品...
用来评价CRF++,以及wapiti等基于CRF算法开发的的命名实体识别工具。同样适用于基于深度学习的实体识别结果的测评。
generate-patterns.pl自动生成Wapiti模式; cv-tokenizers-from-UD-corpus.sh使用多个病毒码文件运行交叉验证实验,以便为数据集选择最佳病毒码; train-multiple-tokenizers.sh简化了以相同格式提供的多个数据集...
Ansj中文分词是一个完全开源的、基于Google语义模型+条件随机场模型的中文分词的Java实现,具有使用简单、开箱即用等特点。 Ansj分词速度达到每秒钟大约100万字左右(Mac Air下测试),准确率能达到96%以上。 ...
有了域/ IP的列表,它就可以执行网络扫描,将输出提供给开放源Web应用程序扫描程序(例如Google的skip-fish和wapiti),执行技术堆栈分析并确定堆栈中是否包含任何已知的CVE。 看门狗的设计考虑了必要的用例,以...
世界上使用最广泛的渗透测试软件 用于执行Web应用程序安全性测试的集成平台 图形工具,用于进行一系列漏洞利用的渗透测试 漏洞扫描程序 -Web应用程序安全扫描程序 漏洞管理和风险管理软件 Nessus-漏洞,配置和法规...
可以轻松地与Sqlmap,Arachni,Wapiti,Burp和许多其他工具进行接口 Fuzzer构建在Fuzzing框架之上,因此可以轻松创建/自定义它们 Fuzzers完全支持REST和SOAP负载(json和xml) 搜寻器和模糊器均在多线程环境中运行 ...
Powerfuzzer是一个高度自动化的Web模糊器,它基于许多其他可用的开源模糊器(包括cfuzzer,fuzzled,fuzzer.pl,jbrofuzz,webscarab,wapiti和Socket Fuzzer)。 它可以检测XSS,注入(SQL,LDAP,命令,代码,...