1.Waptit是什么：

Wapiti 是另一个基于终端的 Web 漏洞扫描器，它发送 GET 和 POST 请求给目标站点，来寻找漏洞:
它目前搜索 XSS、SQL 和 XPath 注入、文件包含、命令执行、XXE 注入、CRLF 注入、服务器端请求伪造、开放重定向等漏洞.它使用 Python 3 编程语言开发.
Wapiti项目的地址：https://github.com/wapiti-scanner/wapiti

Wapiti安装：

linux系统安装wapiti
首先运行命令sudo apt-get update更新软件源库
再运行sudo apt-get install wapiti安装wapiti
再运行sudo apt-get -f install安装依赖包，就可以直接使用了

2.Wapiti基本参数：

参数如下：

-x ：从扫描中排除特定的 URL，对于登出和密码修改 URL 很实用。
-o ：设置输出文件及其格式，如：result.html
-f <type_file>：设置输出文件格式，如：html,json等
-m <module_options>：设置模块进行攻击
-i ：从 XML 文件中恢复之前保存的扫描。文件名称是可选的，因为如果忽略的话 Wapiti 从scan文件夹中读取文件。
-a <login%password>：为 HTTP 登录使用特定的证书。
–auth-method ：为-a选项定义授权方式，可以为basic，digest，kerberos 或 ntlm。
-s ：定义要扫描的 URL。
-p <proxy_url>：使用 HTTP 或 HTTPS 代理

实践操作

 wapiti -u "https://www.kbs.co.kr/"

wapiti扫描完，会生成一个html报告
从扫描结果可以看到有一个漏洞是"内容安全策略配置"

内容安全策略配置是什么：

通过从服务器注入 Content-Security-Policy (CSP) 标头，浏览器意识到并能够保护用户免受将内容加载到当前正在访问的页面中的动态调用。
详细的信息可以参考;OWASP 备忘单系列文档：
https://cheatsheetseries.owasp.org/cheatsheets/Content_Security_Policy_Cheat_Sheet.html
这里就不进行漏洞演示了，因为我们要遵守网络安全法.

总结：

以上就是本章内容，主要介绍了Wapiti是什么以及使用方法和实践操作.喜欢的话请点个赞.