wapiti
是乙個開源的安全測試工具,可用於
web應用程式漏洞掃瞄和安全檢測,可到
是用python
編寫的指令碼,使用它需要
python
的支援,也就是說要先安裝好
python
。wapiti
執行的是「黑盒」方式的掃瞄,也就是說直接對網頁進行掃瞄,而不需要掃瞄
web應用程式的源**。
wapiti
通過掃瞄網頁的指令碼和表單,查詢可以注入資料的地方,
wapiti
能檢測以下漏洞:
q檔案處理錯誤。
q資料庫注入(包括
php/jsp/asp sql
注入和xpath
注入)。
qxss
(跨站指令碼)注入。
qldap
注入。q
命令執行檢測(例如,
eval
(),system()
,passtru
()等)。
qcrlf
注入。之所以把wapiti稱之為輕量級,是因為它
的安全檢測過程不需要依賴漏洞資料庫,因此執行的速度會更快些。
wapiti給我的感覺是「what a pity!」的意思,乙個功能完整的web應用,如果在安全方面有漏洞的話,就真的是「what a pity!」
安全技術 如何選擇安全漏洞掃瞄工具 1
對於乙個複雜的多層結構的系統和網路安全規劃來說,隱患掃瞄是一項重要的組成元素。隱患掃瞄能夠模擬黑客的行為,對系統設定進行攻擊測試,以幫助管理員在黑客攻擊之前,找出網路中存在的漏洞。這樣的工具可以遠端評估你的網路的安全級別,並生成評估報告,提供相應的整改措施。目前,市場上有很多隱患掃瞄工具,按照不同的...
安全技術 如何選擇安全漏洞掃瞄工具 3
商業化的掃瞄工具通常按以下幾種方式來發布器授權許可證 按ip位址授權,按伺服器授權,按管理員授權。不同的授權許可證方式有所區別。3.1 按ip段授權 許多掃瞄其產品,比如eeye的retina和iss internet security scanner 要求企業使用者按照ip段或ip範圍來收費。換句...
安全技術 如何選擇安全漏洞掃瞄工具 1
在字典中,vulnerability意思是漏洞或者缺乏足夠的防護。在軍事術語中,這個詞的意思更為明確,也更為嚴重 有受攻擊的嫌疑。每個系統都有漏洞,不論你在系統安全性上投入多少財力,攻擊者仍然可以發現一些可利用的特徵和配置缺陷。這對於安全管理員來說,實在是個不利的訊息。但是,多數的攻擊者,通常做的是...