wapiti（ワピチ＝オオジカ？）

コマンドラインから実行する、Webアプリケーション脆弱性スキャナ、セキュリティ監査ツールです。

実行は基本ローカルに対して行いましょう。
入力フォームがあると当然勝手にいろいろ入力しまくってくれますので、
テスト環境、テスト設定、テストデータで行いましょう。

チェックしてくれるのは
・XSS
・CSRF
・コマンド実行検出
・SQLインジェクション
…etc
らしいです。
ものによっては環境やオプションを設定しないと検出されない気がしますが・・・。

ま、お試しチェックってことで。

Ubuntuでapt使ったらそれだけです。
で、インストールすると、

/usr/bin/wapiti
※Wapiti-1.1.6

というpythonのファイルが出来てるので試しに実行。
デフォルトでは実行ログ（チェックしているURL）が出ないので、
vオプションで途中結果を表示した方がなんか安心です。

あとはgetcookie.pyでクッキーファイルを作ってログインが必要なページチェックも出来ます。

以上