Wapiti:Web应用漏洞扫描器
引言
Wapiti是一款开源的Web应用漏洞扫描工具,它通过"黑盒"测试方式,向目标网站发送大量请求,通过分析响应内容来检测潜在的安全漏洞。本文将全面介绍Wapiti 3.2.10的安装、配置和使用方法。
一、安装Wapiti
1.1 系统要求
- Python 3.6或更高版本
- pip包管理器
- 可选:Firefox浏览器(用于headless模式)
1.2 安装方法
通过pip安装:
pipinstallwapiti3从源码安装:
gitclone https://github.com/wapiti-scanner/wapiti.gitcdwapiti python setup.pyinstall在Kali Linux中:
sudoapt-getupdatesudoapt-getinstallwapiti二、基础使用
2.1 最简单的扫描
wapiti-uhttps://example.com这将对目标网站进行基础扫描,使用默认设置。
2.2 指定扫描模块
wapiti-uhttps://example.com-mxss,sql,exec可用的模块包括:xss(跨站脚本)、sql(SQL注入)、exec(命令执行)、csrf(跨站请求伪造)等。
三、核心参数详解
3.1 目标URL配置
-u, --url URL:指定扫描目标的基础URL--swagger URI:使用Swagger文件定义API端点--data data:指定POST请求的数据
3.2 扫描范围控制
# 仅扫描特定URLwapiti-uhttps://example.com--scopeurl# 扫描整个页面及子页面wapiti-uhttps://example.com--scopepage# 扫描整个文件夹wapiti-uhttps://example.com--scopefolder# 扫描整个子域名wapiti-uhttps://example.com--scopesubdomain# 扫描整个域名wapiti-uhttps://example.com--scopedomain# 扫描所有相关域名wapiti-uhttps://example.com--scopepunk3.3 深度和强度控制
# 设置爬取深度wapiti-uhttps://example.com-d3# 设置攻击等级(默认1,最高2)wapiti-uhttps://example.com-l2# 控制扫描力度wapiti-uhttps://example.com-Saggressive# 可选值:paranoid, sneaky, polite, normal, aggressive, insane3.4 认证配置
HTTP基础认证:
wapiti-uhttps://example.com --auth-user admin --auth-password secret --auth-method basic表单登录认证:
wapiti-uhttps://example.com --form-url https://example.com/login --form-user admin --form-password secret使用浏览器Cookies:
# 从Firefox导入cookieswapiti-uhttps://example.com-cfirefox# 使用自定义cookie文件wapiti-uhttps://example.com-ccookies.json3.5 代理和网络配置
# 使用HTTP代理wapiti-uhttps://example.com-phttp://127.0.0.1:8080# 使用Tor网络wapiti-uhttps://example.com--tor# 设置超时时间wapiti-uhttps://example.com-t10# 设置并发任务数wapiti-uhttps://example.com--tasks103.6 Headless模式
# 可见模式wapiti-uhttps://example.com--headlessvisible# 隐藏模式wapiti-uhttps://example.com--headlesshidden# 等待页面加载wapiti-uhttps://example.com--headlessvisible--wait5四、高级功能
4.1 会话管理
# 存储会话wapiti-uhttps://example.com --store-session ./session# 恢复会话wapiti-uhttps://example.com --resume-crawl# 清空攻击历史wapiti-uhttps://example.com --flush-attacks# 清空所有会话数据wapiti-uhttps://example.com --flush-session4.2 自定义请求
# 添加自定义头部wapiti-uhttps://example.com-H"X-Forwarded-For: 127.0.0.1"# 设置User-Agentwapiti-uhttps://example.com-A"Mozilla/5.0 Custom"# 排除特定URLwapiti-uhttps://example.com-x/admin# 移除特定参数wapiti-uhttps://example.com-rsessionid# 跳过攻击特定参数wapiti-uhttps://example.com--skipcsrf_token4.3 日志和报告
# 生成HTML报告wapiti-uhttps://example.com-oreport.html-fhtml# 生成JSON报告wapiti-uhttps://example.com-oreport.json-fjson# 包含请求和响应详情wapiti-uhttps://example.com-dr2# 启用详细日志wapiti-uhttps://example.com-v2--logscan.log4.4 性能优化
# 限制每个页面的链接数wapiti-uhttps://example.com --max-links-per-page50# 限制每个目录的文件数wapiti-uhttps://example.com --max-files-per-dir100# 限制最大参数数wapiti-uhttps://example.com --max-parameters50# 设置总扫描时间限制wapiti-uhttps://example.com --max-scan-time3600# 设置单个模块攻击时间限制wapiti-uhttps://example.com --max-attack-time600五、实战示例
5.1 WordPress站点扫描
wapiti-uhttps://wordpress-site.com--cmswp-mxss,sql,exec-d3-Saggressive5.2 API端点测试
wapiti-uhttps://api.example.com--swagger/path/to/swagger.json-mxss,sql,exec5.3 认证扫描
wapiti-uhttps://secure-site.com-cchrome --form-url https://secure-site.com/login --form-user user --form-password pass-mxss,sql,exec-oscan_report.html5.4 深度审计
wapiti-uhttps://audit-target.com--scopedomain-d5-Sinsane-mall-ofull_audit.html-v2--max-scan-time7200六、常见问题与解决方案
6.1 SSL证书验证
# 禁用SSL验证(不推荐用于生产环境)wapiti-uhttps://example.com --verify-ssl06.2 Cookie处理
# 忽略Set-Cookie头wapiti-uhttps://example.com --drop-set-cookie# 使用特定Cookie值wapiti-uhttps://example.com-C"sessionid=abc123; token=xyz789"6.3 故障排除
# 查看可用模块wapiti --list-modules# 更新Wapitiwapiti--update# 查看版本信息wapiti--version七、最佳实践建议
扫描前准备:
- 获得授权
- 测试环境优先
- 了解目标应用
扫描策略:
- 从低强度开始
- 逐步增加扫描深度
- 合理设置超时时间
结果验证:
- 人工复核关键发现
- 避免误报
- 区分漏洞严重程度
性能考虑:
- 控制并发数
- 限制扫描时间
- 分批处理大型应用
结论
Wapiti 3.2.10是一款功能强大的Web应用漏洞扫描工具,它提供了丰富的配置选项,可以适应各种扫描场景。通过本文的详细介绍,您应该能够充分掌握Wapiti的使用方法,有效地进行Web应用安全审计。记住在使用时始终遵守法律法规,获得必要的授权,并以负责任的方式进行安全测试。