根据站点中的窗体纪录,它测试的字符串像是:
/e\0 璞'\"( a;env a);env ../../../../../../../../../../boot.ini ../../../../../../../../../../boot.ini\0 c:\\\\boot.ini c:\\\\boot.ini\0 ../../../../../../../../../../etc/passwd <a href="http://www.google.fr/" title="http://www.google.fr/">http://www.google.fr/</a> /etc/passwd /etc/passwd\0
Wapiti 自然无法与商业级的工具相比,但轻便而免安装,而且即便是此领域的厂商亦承认,无论多强大的工具,其自动发掘的漏洞仍十分有限,最好的方法还是开发过程中不厌其烦的反复检查、过滤及测试。
Wapiti是一个开源的安全测试工具,可用于Web应用程序漏洞扫描和安全检测,可到http://sourceforge.net/projects/wapiti/下载。
Wapiti是用Python编写的脚本,使用它需要Python的支持,也就是说要先安装好Python。