Wapti
Zur Navigation springen
Zur Suche springen
Wapiti Web Application Scanner
- Allgemeine Erklärung
Wapiti ist ein freier, modular aufgebauter Web Application Vulnerability Scanner für die Kommandozeile. Das Tool durchsucht eine Webanwendung nach typischen Schwachstellen wie SQL Injection, XSS, File Inclusion oder Command Execution. Wapiti eignet sich besonders für automatisierte Sicherheitstests, ähnlich wie OWASP ZAP, jedoch ohne grafische Oberfläche.
Neueste Version
- python3 -m venv ~/wapiti-env
- source ~/wapiti-env/bin/activate
- pip install wapiti3
- wapiti --version
oder
Installation (Debian/Ubuntu)
- apt update
- apt install wapiti
Grundlegende Nutzung
- wapiti -u http://10.0.10.108
Crawlt die Zielseite und startet alle verfügbaren Tests.
Wichtige Optionen
- -u URL → Ziel-URL
- -m Modul → nur ein bestimmtes Modul starten (z. B. sql, xss, exec)
- -f FORMAT → Ausgabeformat wählen (html, json, xml, txt)
- -o DATEI → Ergebnisdatei angeben
- -d → Debug-Ausgabe für Details
- -v 2 → höhere Detailstufe
Beispiele
- wapiti -u http://10.0.10.108 -f html -o report.html
→ Scan und Report im HTML-Format speichern.
- wapiti -u http://10.0.10.108 -m sql
→ Nur SQL Injection testen.
- wapiti -u http://10.0.10.108 -f json -o report.json
→ JSON-Report für maschinelle Weiterverarbeitung.
Erkannte Schwachstellen
Wapiti verfügt über Module für u. a.:
- SQL Injection (klassisch, blind)
- Cross-Site Scripting (reflected, persistent, upload)
- Command Injection
- File Inclusion (LFI, RFI)
- CSRF, SSRF, Open Redirects
- Fehlkonfigurationen (HTTP-Header, Cookies, CSP)
Reports
- Standardmäßig im Verzeichnis ~/.wapiti/scans/ gespeichert.
- Ausgabeformate: html, json, xml, txt
Fazit
Wapiti bietet eine einfache Möglichkeit, Webanwendungen automatisiert auf Schwachstellen zu prüfen. Es ersetzt keinen manuellen Penetrationstest, ist aber ein effektives Werkzeug für erste Sicherheitsbewertungen oder ergänzende Prüfungen in Security-Trainings.