V
e
r

l
i
s
t
a
d
o

tractatus@lapipaplena:/# _

 

wapiti

Permite auditar la seguridad de aplicaciones web. Realiza escaneos "black-box", es decir, no estudia el código fuente de la aplicación, pero escaneará las páginas web de las aplicaciones web desplegadas, buscando secuencias de comandos y formularios donde pueda inyectar datos. Una vez que obtiene esta lista, wapiti actúa como un fuzzer, inyectando cargas útiles para ver si un script es vulnerable.

$ wapiti --list-modules
listar modulos
$ wapiti -u http://site.com/ -m sql --color
resaltar parámetros vulnerables [--color] y especificando un módulo [m]
$ wapiti -u http://site.com -m "-all,xss:get,exec:post" -v 1
especificando varios módulos y nivel verbose 1 [imprimir cada url]
$ wapiti -u http://site.com -n 10 -b folder -v 2 -f html -o informe
limite de urls para leer [10] con el mismo patrón [evitar bucles interminables] y destino [o]

Nota.- el parámetro "v" puede ser: 0: quiet (default), 1: imprimir cada url y 2: imprimir cada ataque. El formato "f" puede ser txt, xml o json. El parámetro "b" puede ser "page": analizar sólo la página dada como URL raíz, "folder": analizar todos los URLs bajo la URL raíz [por defecto] y "domain": analizar todos los enlaces a las páginas que están en el mismo dominio que el URL pasada.

Navegando por staredsi.eu aceptas las cookies que utilizamos en esta web. Más información: Ver política de cookies
[0] 0:bash*
2123 entradas - Acerca del Tractatus
La Pipa Plena 2021