Wapiti是一个轻量级的开源Web应用程序漏洞扫描工具，检测诸如SQL注入、跨站脚本(XSS)、文件包含等常见安全漏洞。

准备工作

1. 安装Python环境：确保你的系统中已经安装了Python，因为Wapiti是用Python编写的。
2. 安装Wapiti：通过pip（Python的包管理器）安装Wapiti，或者直接从源码安装。使用pip安装是最简单的方式：

1pip install wapiti3

注意：请根据实际情况使用pip3如果存在Python版本冲突。

执行扫描

假设你要扫描的目标网站是 http://example.com，以下是一个基本的Wapiti扫描命令示例：

1. 基本扫描：

1wapiti3 -u http://example.com

这个命令会扫描给定URL的基本漏洞。

2. 深入扫描： 如果你想进行更深入的扫描，可以使用-v（verbose模式）和-a（attack模式）选项来增加扫描的攻击性：

1wapiti3 -u http://example.com -v -a all

-a all 表示尝试所有可能的攻击向量，这会增加扫描时间和系统的负载。

3. 输出报告： 你将扫描结果输出到一个HTML报告中，便于查看和分享：

1wapiti3 -u http://example.com -o report.html

这里，-o report.html 指定了输出报告的文件名为report.html。

注意事项

• 在进行扫描之前，确保你有合法的权限去扫描目标网站，未经允许的扫描违反法律或服务条款。
• 根据目标网站的大小和复杂度，扫描要一定的时间，请耐心等待。
• Wapiti的攻击模式会对网站造成一定的压力，最好在非高峰时段进行扫描，并与网站管理员沟通。