我正在使用这个命令:
wapiti.exe http://localhost/mysite/mypage.asp -v 2 -c blah.json
我得到这个输出:
Wapiti-2.3.0 (wapiti.sourceforge.net)
Exception in lswww.browse: 'NoneType' object is not iterable
Note
========
This scan has been saved in the file C:\Users\Michael\.wapiti\scans/localhost.xml
You can use it to perform attacks without scanning again the web site with the "-k" parameter
[*] Loading modules:
mod_crlf, mod_exec, mod_file, mod_sql, mod_xss, mod_backup, mod_htaccess, mod_blindsql, mod_permanentxss, mod_nikto
[+] Launching module exec
[+] Launching module file
[+] Launching module sql
[+] Launching module xss
[+] Launching module blindsql
[+] Launching module permanentxss
Report
------
A report has been generated in the file C:\Users\Michael\.wapiti\generated_report
Open C:\Users\Michael\.wapiti\generated_report/index.html with a browser to see this report.
该报告基本上是空的,因为 Wapiti 由于异常而没有做任何事情。
如果我不使用 -c 参数(即 cookie 文件),它会进行扫描,但我认为不会看到比登录页面更深的内容,因为我们的应用程序使用表单身份验证并且基本上没有公共内容。
我之前使用 wapiti-getcookie.exe 对我们的应用程序进行了成功的身份验证,然后将 cookie 保存到 blah.json - 它似乎充满了有用的东西,所以我有点困惑。
是时候学习如何调试 Python 了?