Wapiti Web Application Scanner

Allgemeine Erklärung

Wapiti ist ein freier, modular aufgebauter Web Application Vulnerability Scanner für die Kommandozeile. Das Tool durchsucht eine Webanwendung nach typischen Schwachstellen wie SQL Injection, XSS, File Inclusion oder Command Execution. Wapiti eignet sich besonders für automatisierte Sicherheitstests, ähnlich wie OWASP ZAP, jedoch ohne grafische Oberfläche.

Installation (Debian/Ubuntu)

• apt update
• apt install wapiti

Grundlegende Nutzung

• wapiti -u http://10.0.10.108

 Crawlt die Zielseite und startet alle verfügbaren Tests.

Wichtige Optionen

• -u URL → Ziel-URL
• -m Modul → nur ein bestimmtes Modul starten (z. B. sql, xss, exec)
• -f FORMAT → Ausgabeformat wählen (html, json, xml, txt)
• -o DATEI → Ergebnisdatei angeben
• -d → Debug-Ausgabe für Details
• -v 2 → höhere Detailstufe

Beispiele

• wapiti -u http://10.0.10.108 -f html -o report.html

 → Scan und Report im HTML-Format speichern.

• wapiti -u http://10.0.10.108 -m sql

 → Nur SQL Injection testen.

• wapiti -u http://10.0.10.108 -f json -o report.json

 → JSON-Report für maschinelle Weiterverarbeitung.

Erkannte Schwachstellen

Wapiti verfügt über Module für u. a.:

• SQL Injection (klassisch, blind)
• Cross-Site Scripting (reflected, persistent, upload)
• Command Injection
• File Inclusion (LFI, RFI)
• CSRF, SSRF, Open Redirects
• Fehlkonfigurationen (HTTP-Header, Cookies, CSP)

Reports

• Standardmäßig im Verzeichnis ~/.wapiti/scans/ gespeichert.
• Ausgabeformate: html, json, xml, txt

Fazit

Wapiti bietet eine einfache Möglichkeit, Webanwendungen automatisiert auf Schwachstellen zu prüfen. Es ersetzt keinen manuellen Penetrationstest, ist aber ein effektives Werkzeug für erste Sicherheitsbewertungen oder ergänzende Prüfungen in Security-Trainings.