Wapiti

Aujourd’hui nous allons parler de Wapiti ! C’est un super animal vous trouvez pas ?

Non je ne me suis pas transformé en reporter animalier mais nous allons plutôt parler de l’outil permettant d’auditer la sécurité de vos applications Web 🙂 (vous avez eu peur hein ! lol).

Alors ce super logiciel (script python) permet d’effectuer des tests en scannant vos pages Web sans forcément avoir besoin du code source. On parle ici d’audit en « boîtes noires » ou en aveugle.

Après avoir effectué ce scan, il va essayer d’injecter dans vos scripts, formulaires… des données afin de voir si l’un d’eux est vulnérables.

Wapiti permet de détecter les vulnérabilités suivantes :

– Gestions d’erreurs sur les fichiers
– Injections diverses (PHP / JSP / ASP / SQL et XPath)
– XSS (Cross Site Scripting)
– Injection LDAP
– Détection d’exécution de commandes
– Injection CRLF

Wapiti est en mesure de différencier les différentes formes de failles de type XSS (permanent ou non).

Une alerte est également émise lorsque il trouve une erreur HTTP 500 (utile pour les ASP / IIS).

Son principal atout face à la concurrence est surtout le fait qu’il ne se base pas sur une BDD mais vise à découvrir des vulnérabilités inconnues dans les applications Web.

Le seul petit problème? est qu’il n’est utilisable que par la ligne de commande.

Vous pouvez télécharger Wapiti 2.2.1 ici

Pour son utilisation :

#python wapiti.py www.jautorisequetumescan.com [options]

Options disponibles :

un petit -h fera l’affaire 😉

5 Responses to "Wapiti"

  • Nicolas says:
  • mandalorien says:
  • rv says:
  • admin says:
  • Romain says:
Laissez un commentaire