ນີ້ແມ່ນຄໍາສັ່ງ wapti ທີ່ສາມາດດໍາເນີນການໄດ້ໃນ OnWorks ຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີໂດຍໃຊ້ຫນຶ່ງໃນຫຼາຍໆບ່ອນເຮັດວຽກອອນໄລນ໌ຂອງພວກເຮົາເຊັ່ນ Ubuntu Online, Fedora Online, Windows online emulator ຫຼື MAC OS online emulator
ໂຄງການ:
NAME
Wapiti - ເຄື່ອງສະແກນຊ່ອງໂຫວ່ຂອງແອັບພລິເຄຊັນເວັບໃນ Python.
ສະຫຼຸບສັງລວມ
ວາປີຕິ ROOT_URL [ຕົວເລືອກ]
ລາຍລະອຽດ
Wapiti ຊ່ວຍໃຫ້ທ່ານສາມາດກວດສອບຄວາມປອດໄພຂອງຄໍາຮ້ອງສະຫມັກເວັບຂອງທ່ານ.
ມັນດໍາເນີນການ "black-box" scans, ie ມັນບໍ່ໄດ້ສຶກສາລະຫັດແຫຼ່ງຂອງຄໍາຮ້ອງສະຫມັກ
ແຕ່ຈະສະແກນໜ້າເວັບຂອງ webapp ທີ່ນຳໃຊ້, ຊອກຫາສະຄຣິບ ແລະແບບຟອມຢູ່ບ່ອນນັ້ນ
ສາມາດໃສ່ຂໍ້ມູນ.
ເມື່ອມັນໄດ້ຮັບບັນຊີລາຍຊື່ນີ້, Wapiti ເຮັດຄື fuzzer, ສັກຢາ payloads ເພື່ອເບິ່ງວ່າສະຄິບ.
ມີຄວາມສ່ຽງ.
OPTIONS
-s, --ເລີ່ມ=URL
ເພື່ອລະບຸ url ເພື່ອເລີ່ມຕົ້ນດ້ວຍ. ທາງເລືອກນີ້ສາມາດຖືກເອີ້ນຫຼາຍຄັ້ງ.
Wapiti ຈະຊອກຫາລິ້ງເຫຼົ່ານີ້ເພື່ອມັກ URLs ເພີ່ມເຕີມເຖິງແມ່ນວ່າການເຊື່ອມຕໍ່ທີ່ລະບຸບໍ່ແມ່ນ
ໃນຂອບເຂດ.
-x, --ຍົກເວັ້ນ=URL
ເພື່ອຍົກເວັ້ນ url ຈາກການສະແກນ (ຕົວຢ່າງການອອກ scripts). ທາງເລືອກນີ້ສາມາດເປັນ
ເອີ້ນຫຼາຍຄັ້ງເພື່ອຍົກເວັ້ນຫຼາຍ URLs.
Wildcards (*) ສາມາດຖືກນໍາໃຊ້ໃນ URLs ເປັນ regex ພື້ນຖານ.
ຕົວຢ່າງ:
-x "http://server/base/?page=*&module=test"
or
-x http://server/base/admin/* ເພື່ອຍົກເວັ້ນໄດເລກະທໍລີ
-b, --ຂອບເຂດ=ຂອບເຂດ
ກໍານົດຂອບເຂດຂອງການສະແກນ:
ຫນ້າ : ເພື່ອວິເຄາະພຽງແຕ່ຫນ້າທີ່ໃຫ້ເປັນ URL ຮາກ.
ໂຟນເດີ : ເພື່ອວິເຄາະທຸກ URL ພາຍໃຕ້ URL ຮາກທີ່ສົ່ງໄປຫາ Wapiti
(ເລີ່ມຕົ້ນ).
domain : ເພື່ອວິເຄາະທຸກລິ້ງໄປຫາໜ້າເວັບທີ່ຢູ່ໃນໂດເມນດຽວກັນ
ດັ່ງທີ່ URL ຜ່ານໄປ Wapiti.
-p, -- ຕົວແທນ=PROXY_URL
ເພື່ອລະບຸຕົວແທນ. ປະຈຸບັນນີ້ພຣັອກຊີທີ່ຮອງຮັບແມ່ນ HTTP ແລະ HTTPS.
ທາງເລືອກນີ້ສາມາດຖືກເອີ້ນສອງຄັ້ງເພື່ອລະບຸ HTTP ແລະ HTTPS proxies.
ຕົວຢ່າງ:
-p http://proxy:ພອດ/
-c, --ຄຸກກີ=ຄຸກກີ
ເພື່ອນໍາເຂົ້າ cookies ເພື່ອໃຊ້ສໍາລັບການສະແກນ. ໄຟລ໌ COOKIE ຕ້ອງຢູ່ໃນຮູບແບບ JSON.
ສາມາດຈັບຄຸກກີ້ໄດ້ໂດຍໃຊ້ cookie.py ແລະ getcookie.py utilities (ສຸດທິ
ໄດເລກະທໍລີ).
-t, --ຫມົດເວລາ=ຫມົດເວລາ
ກໍານົດເວລາຫມົດເວລາ (ເວລາສູງສຸດເປັນວິນາທີເພື່ອລໍຖ້າເຄື່ອງແມ່ຂ່າຍສົ່ງ a
ຕອບສະຫນອງ).
-a, --auth=ເຂົ້າສູ່ລະບົບ%PASSWORD
ກໍານົດຂໍ້ມູນປະຈໍາຕົວສໍາລັບການພິສູດຢືນຢັນ HTTP ('%' ຖືກນໍາໃຊ້ເປັນຕົວແຍກ).
--auth-ວິທີການ=ວິທີການ
ຖ້າເຊີບເວີຕ້ອງການການພິສູດຢືນຢັນ, ໃຫ້ຕັ້ງວິທີການພິສູດຢືນຢັນເພື່ອໃຊ້.
ວິທີການສະຫນັບສະຫນູນໃນປັດຈຸບັນແມ່ນ (ບາງຄົນຕ້ອງການໂມດູນເພີ່ມເຕີມໃນການຕິດຕັ້ງ):
ພື້ນຖານ
ຍ່ອຍ
ເຄເບີໂຣ
ntlm
-r, -- ເອົາອອກ=ປາຣາມ
ເອົາພາລາມິເຕີ PARAM (ແລະຄ່າຂອງມັນ) ອອກຈາກ URL ໂດຍອັດຕະໂນມັດ.
-n, --ງາມ=ຈຳ ກັດ
ກໍານົດຂອບເຂດຈໍາກັດຂອງ URL ທີ່ຈະເບິ່ງດ້ວຍຮູບແບບດຽວກັນ (ie, ຈໍານວນສູງສຸດຂອງ
ຄ່າທີ່ເປັນເອກະລັກສໍາລັບພາລາມິເຕີດຽວກັນ).
ໃຊ້ທາງເລືອກນີ້ເພື່ອປ້ອງກັນບໍ່ໃຫ້ loops ທີ່ບໍ່ມີສິ້ນສຸດໃນລະຫວ່າງການສະແກນ. LIMIT ຈະຕ້ອງຫຼາຍກວ່າ 0.
-m, --ໂມດູນ=MODULE_OPTIONS
ກໍານົດໂມດູນ (ແລະວິທີການ HTTP ສໍາລັບແຕ່ລະໂມດູນ) ເພື່ອໃຊ້ສໍາລັບການໂຈມຕີ.
ນຳໜ້າຊື່ໂມດູນດ້ວຍເຄື່ອງໝາຍຈຸດເພື່ອປິດການນຳໃຊ້ໂມດູນທີ່ກ່ຽວຂ້ອງ.
ເພື່ອຄົ້ນຫາເປົ້າຫມາຍເທົ່ານັ້ນ (ໂດຍບໍ່ມີການສົ່ງ payloads ໃດ), ປິດໃຊ້ງານທຸກໂມດູນ
ດ້ວຍ -m "-ທັງໝົດ".
ຖ້າທ່ານບໍ່ລະບຸວິທີການ HTTP, GET ແລະ POST ຈະຖືກນໍາໃຊ້.
ຕົວຢ່າງ:
-m "-all,xss:get,exec:post"
-i, --ສືບຕໍ່=ເອກະສານ
ພາລາມິເຕີນີ້ຊີ້ໃຫ້ເຫັນເຖິງ Wapiti ເພື່ອສືບຕໍ່ການສະແກນທີ່ຜ່ານມາທີ່ບັນທຶກໄວ້ໃນ
ໄຟລ໌ສະຖານະ XML ທີ່ລະບຸ.
ຊື່ໄຟລ໌ເປັນທາງເລືອກ, ຖ້າມັນບໍ່ໄດ້ຖືກລະບຸ, Wapiti ເອົາໄຟລ໌ເລີ່ມຕົ້ນ
ຈາກໂຟນເດີ "ສະແກນ".
-k, -- ການໂຈມຕີ=ເອກະສານ
ຕົວກໍານົດການນີ້ຊີ້ໃຫ້ເຫັນເຖິງ Wapiti ເພື່ອສືບຕໍ່ການໂຈມຕີໂດຍບໍ່ມີການສະແກນອີກເທື່ອຫນຶ່ງ,
ກຳລັງໂຫຼດສະຖານະສະແກນຈາກໄຟລ໌ສະຖານະ XML ທີ່ລະບຸ.
ຊື່ໄຟລ໌ເປັນທາງເລືອກ, ຖ້າມັນບໍ່ໄດ້ຖືກລະບຸ, Wapiti ເອົາໄຟລ໌ເລີ່ມຕົ້ນ
ຈາກໂຟນເດີ "ສະແກນ".
-u, --ສີ
ໃຊ້ສີເພື່ອເນັ້ນໃສ່ຈຸດອ່ອນ ແລະ ຄວາມຜິດປົກກະຕິໃນຜົນຜະລິດ.
-v, -- verbose=LEVEL
ກໍານົດລະດັບ verbosity ເປັນ LEVEL.
0: ງຽບ (ຄ່າເລີ່ມຕົ້ນ), 1: ພິມແຕ່ລະ URL, 2: ພິມທຸກການໂຈມຕີ.
-f, -- ຮູບແບບ=TYPE
ກໍານົດປະເພດຮູບແບບສໍາລັບບົດລາຍງານເປັນ TYPE. ຮູບແບບສະຫນັບສະຫນູນໃນປັດຈຸບັນແມ່ນ:
json: ລາຍງານໃນຮູບແບບ JSON
html : ລາຍງານໃນຮູບແບບ HTML (ຄ່າເລີ່ມຕົ້ນ)
openvas : ລາຍງານໃນຮູບແບບ OpenVAS XML
txt : ລາຍງານຂໍ້ຄວາມບໍ່ທໍາມະດາ (UTF-8)
vulneranet: ລາຍງານໃນຮູບແບບ VulneraNET XML
xml : ລາຍງານໃນຮູບແບບ XML
-o, -- ຜົນຜະລິດ=ເອກະສານ
ຂຽນບົດລາຍງານໃສ່ FILE.
ຖ້າຮູບແບບບົດລາຍງານທີ່ເລືອກແມ່ນ "html", ພາລາມິເຕີນີ້ຈະຖືກໃຊ້ເປັນໄດເລກະທໍລີ
ຊື່
--verify-ssl=<0|1>
ພາລາມິເຕີນີ້ຊີ້ບອກວ່າ Wapiti ຕ້ອງກວດສອບໃບຢັ້ງຢືນ SSL.
ຄ່າເລີ່ມຕົ້ນແມ່ນການກວດສອບໃບຢັ້ງຢືນ.
-h, - ຊ່ວຍ
ເພື່ອພິມຂໍ້ຄວາມການນໍາໃຊ້ນີ້.
LICENCE
ວາປີຕິ ແມ່ນກວມເອົາໂດຍ GNU General Public License (GPL), ຮຸ່ນ 2.
ກະລຸນາອ່ານໄຟລ໌ COPYING ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ.
COPYRIGHT
ລິຂະສິດ (c) 2006-2013 Nicolas Surribas.
AUTHORS
Nicolas Surribas
David del Pozo
ສິດຍາພິບານ Alberto
BUG ບົດລາຍງານ
ຖ້າເຈົ້າພົບຂໍ້ບົກພ່ອງໃນ Wapiti ກະລຸນາລາຍງານມັນຫາ
http://sourceforge.net/tracker/?group_id=168625
ໃຊ້ wapti ອອນໄລນ໌ໂດຍໃຊ້ບໍລິການ onworks.net
