Wapiti – Scanner de vulnerabilidades WEB v2.3.0

Wapiti es un escáner de vulnerabilidades de aplicaciones web, que  permite auditar la seguridad de las aplicaciones web. Realiza exploraciones “recuadro negro”, es decir, que no estudia el código fuente de la aplicación, sino que analiza las páginas web de la aplicación web desplegada, en busca de scripts y formas en que se puede inyectar datos.
Una vez que se obtiene esta lista, Wapiti actúa como un fuzzer, realiza inyección de cargas útiles para ver si es vulnerable.

Wapiti puede detectar las siguientes vulnerabilidades:

• File disclosure (Local and remote include/require, fopen, readfile…)
• Database Injection (PHP/JSP/ASP SQL Injections and XPath Injections)
• XSS (Cross Site Scripting) injection (reflected and permanent)
• Command Execution detection (eval(), system(), passtru()…)
• CRLF Injection (HTTP Response Splitting, session fixation…)
• XXE (XmleXternal Entity) injection
• Use of know potentially dangerous files (thanks to the Nikto database)
• Weak .htaccess configurations that can be bypassed
• Presence of backup files giving sensitive information (source code disclosure)

Características

• Genera informes de vulnerabilidad en diversos formatos (HTML, XML, JSON, TXT …)
• Puede suspender y reanudar una exploración o un ataque
• Puede dar colores en la terminal para resaltar las vulnerabilidades
• Diferentes niveles de verbosidad
• Manera rápida y fácil de activar / desactivar módulos de ataque
• Adición de una carga útil puede ser tan fácil como añadir una línea a un archivo de texto
• Soporta tanto los métodos GET y POST HTTP para ataques
• También es compatible con varias partes y se puede inyectar cargas útiles en nombres de archivo (de subida)
• Mostrar una advertencia cuando se encuentra una anomalía (por ejemplo 500 errores y tiempos de espera)
• Hace la diferencia beetween vulnerabilidades permanentes y reflejados XSS.

Sitio oficial: http://wapiti.sourceforge.net/
Vía OpenSource.com.mx