Wapiti هي أداة رائعة في فحص ثغرات تطبيقات الويب، فهي تمكنك من عمل تدقيق أمني لتطبيق الويب الخاص بك. كما أنها تقوم بتنفيذ الفحص من نوع “Black Box”. في الواقع هذه الأداة لا تقوم بدراسة الكود المصدري للتطبيق ولكنها تقوم بعمل فحص لصفحات التطبيق نفسه والبحث عن أي Forms أو Scripts التي يمكنك من خلالها القيام بعملية حقن بيانات.

وبمجرد حصولك على هذه القائمة في الصورة أدناه قم بحقن الـ Payload وذلك حتى تتأكد ما إذا السكربت مصاب أم لا.


الأداة يمكنها اكتشاف الثغرات الآتية:ـ

  • File disclosure (Local and remote include/require, fopen, readfile…)
  • Database Injection (PHP/JSP/ASP SQL Injections and XPath Injections)
  • XSS (Cross Site Scripting) injection (reflected and permanent)
  • Command Execution detection (eval(), system(), passtru()…)
  • CRLF Injection (HTTP Response Splitting, session fixation…)
  • XXE (XmleXternal Entity) injection
  • Use of know potentially dangerous files (thanks to the Nikto database)
  • Weak .htaccess configurations that can be bypassed
  • Presence of backup files giving sensitive information (source code disclosure)

يمكنك تحميل الأداة من هنــا إذا كنت تعمل بنظام تشغيل ويندوز، أو من هنــا إذا كنت تعمل بنظام تشغيل لينكس، أو الإطلاع على المزيد من المعلومات من هنــا