Wapiti 輕量級網頁安全漏洞掃描工具

Wapiti是Web應用程序漏洞錯誤檢查工具。它具有“暗箱操作”掃描，即它不關心Web應用程序的源代碼，但它會掃描網頁的部署，尋找使其能夠注入數據的腳本和格式。它用於檢測網頁，看腳本是否脆弱的。
Wapiti是一個開源的安全測試工具，可用於Web應用程序漏洞掃描和安全檢測，可到http://sourceforge.net/projects/wapiti/下載。

開發語言： Python
軟件主頁： http://www.ict-romulus.eu/web/wapiti/home
下載地址： http://sourceforge.net/projects/wapiti/

Wapiti是用Python編寫的腳本，使用它需要Python的支持，也就是說要先安裝好Python。

Wapiti執行的是“黑盒”方式的掃描，也就是說直接對網頁進行掃描，而不需要掃描Web應用程序的源代碼。Wapiti通過掃描網頁的腳本和表單，查找可以注入數據的地方，Wapiti能檢測以下漏洞：

功能和特點
文件處理錯誤(本地和遠程打開文件，readfile ... )
數據庫注入(PHP/JSP/ASP，SQL和XPath注入)
XSS(跨站點腳本)注入
LDAP注入
命令執行檢測(eval(), system(), passtru()...)
CRLF注射入(HTTP響應，session固定... )
統計漏洞數量
成功襲擊的細節
漏洞詳細信息
提供解決漏洞的方法
HTML報告格式
XML報告格式

之所以把Wapiti稱之為輕量級，是因為它的安全檢測過程不需要依賴漏洞數據庫，因此執行的速度會更快些。
Wapiti給我的感覺是“What a pity！”的意思，一個功能完整的Web應用，如果在安全方面有漏洞的話，就真的是“What a pity！”