Это команда wapiti, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
Wapiti - сканер уязвимостей веб-приложений на Python.
СИНТАКСИС
вапити ROOT_URL [ОПЦИИ]
ОПИСАНИЕ
Wapiti позволяет вам проверять безопасность ваших веб-приложений.
Он выполняет сканирование «черного ящика», то есть не изучает исходный код приложения.
но будет сканировать веб-страницы развернутого веб-приложения в поисках скриптов и форм, в которых
может вводить данные.
Получив этот список, Wapiti действует как фаззер, вводя полезные данные, чтобы проверить,
уязвима.
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
-s, --Начните=URL
Чтобы указать URL-адрес для начала. Этот вариант можно вызывать несколько раз.
Wapiti будет просматривать эти ссылки, чтобы получить больше URL-адресов, даже если указанная ссылка не
в объеме.
-x, --исключать=URL
Чтобы исключить URL-адрес из сканирования (например, сценарии выхода из системы). Этот вариант может быть
вызывается несколько раз для исключения нескольких URL-адресов.
Подстановочные знаки (*) можно использовать в URL-адресах как базовое регулярное выражение.
Пример:
-Икс "http://server/base/? page = * & module = test "
or
-x http://server/base/admin/* исключить каталог
-b, --сфера=СФЕРА
Задайте объем проверки:
page: анализировать только страницу, указанную в качестве корневого URL.
папка: для анализа всех URL-адресов под корневым URL-адресом, переданным в Wapiti
(по умолчанию).
домен: для анализа всех ссылок на страницы, которые находятся в одном домене
как URL-адрес, переданный в Wapiti.
-p, --прокси=PROXY_URL
Указать прокси. В настоящее время поддерживаются прокси-серверы HTTP и HTTPS.
Этот параметр можно вызвать дважды, чтобы указать прокси HTTP и HTTPS.
Пример:
-p http://proxy: порт /
-c, - печенье=ПЕЧЕНЬЕ
Чтобы импортировать файлы cookie для использования при сканировании. Файл COOKIE должен быть в формате JSON.
Файлы cookie можно получить с помощью утилит cookie.py и getcookie.py (net
каталог).
-t, - тайм-аут=TIMEOUT
Установите тайм-аут (максимальное время в секундах, чтобы ждать, пока сервер отправит
ответ).
-a, --аут=ЛОГИН ПАРОЛЬ
Установите учетные данные для HTTP-аутентификации (в качестве разделителя используется "%").
--auth-метод=МЕТОД
Если сервер требует аутентификации, установите используемый метод аутентификации.
В настоящее время поддерживаются следующие методы (для установки некоторых требуются дополнительные модули):
основной
дайджест
Керберос
NTLM
-r, --Удалить=ПАРАМ
Автоматически удалить параметр PARAM (и его значения) из URL-адресов.
-n, --отлично=ОГРАНИЧЕНИЯ
Определите ограничение URL-адресов для просмотра с тем же шаблоном (т. Е. Максимальное количество
уникальные значения для одного и того же параметра).
Используйте эту опцию, чтобы предотвратить бесконечные циклы во время сканирования. LIMIT должен быть больше 0.
-m, --модуль=МОДУЛЬ_ОПЦИИ
Установите модули (и методы HTTP для каждого модуля), которые будут использоваться для атак.
Поставьте перед именем модуля дефис, чтобы отключить связанный модуль.
Чтобы просматривать только цель (без отправки каких-либо полезных данных), отключите каждый модуль
с -m "-all".
Если вы не укажете методы HTTP, будут использоваться GET и POST.
Пример:
-m "-all, xss: get, exec: post"
-i, --Продолжить=ФАЙЛОВ
Этот параметр указывает Wapiti возобновить предыдущее сканирование, сохраненное в
указанный файл состояния XML.
Имя файла указывать необязательно, если оно не указано, Wapiti принимает файл по умолчанию.
из папки "сканы".
-k, --атака=ФАЙЛОВ
Этот параметр указывает Wapiti возобновить атаки без повторного сканирования,
загрузка статуса сканирования из указанного файла статуса XML.
Имя файла указывать необязательно, если оно не указано, Wapiti принимает файл по умолчанию.
из папки "сканы".
-u, --цвет
Используйте цвета, чтобы выделить уязвимости и аномалии в выводе.
-v, --подробный=УРОВЕНЬ
Установите уровень детализации на УРОВЕНЬ.
0: тихо (по умолчанию), 1: печатать каждый URL, 2: печатать каждую атаку.
-f, --формат=ТИП
Установите для отчета тип формата TYPE. В настоящее время поддерживаются следующие форматы:
json: отчет в формате JSON
html: отчет в формате HTML (по умолчанию)
openvas: отчет в формате OpenVAS XML
txt: сообщить о неформатированном тексте (UTF-8)
уязвимость: Отчет в формате XML VulneraNET
xml: отчет в формате XML
-o, --выход=ФАЙЛОВ
Напишите отчет в ФАЙЛ.
Если выбран формат отчета «html», этот параметр будет использоваться как каталог.
имя.
--verify-ssl=<0 | 1>
Этот параметр указывает, должен ли Wapiti проверять сертификаты SSL.
По умолчанию проверять сертификаты.
-h, --Помогите
Чтобы распечатать это сообщение об использовании.
ЛИЦЕНЗИЯ
вапити подпадает под Стандартную общественную лицензию GNU (GPL) версии 2.
Пожалуйста, прочтите файл КОПИРОВАНИЯ для получения дополнительной информации.
АВТОРСКИЕ ПРАВА
Авторские права (c) 2006-2013 Николас Суррибас.
АВТОРЫ
Николас Суррибас
Давид дель Посо
Альберто Пастор
BUG ДОКЛАДЫ
Если вы обнаружите ошибку в Wapiti, сообщите об этом по адресу
http://sourceforge.net/tracker/? group_id = 168625
Используйте wapiti онлайн с помощью сервисов onworks.net
