Wapiti est un outil en ligne de commande d'audit de sécurité pour les sites web et les applications web. Wapiti est open source sous licence GNU GPL v2.

Wapiti n'étudie pas le code source des applications. Il travaille en parcourant les pages publiées par les sites et les applications, y recherchant des scripts et des formulaires à travers lesquels il peut injecter des données.

Wapiti 3.0 peut détecter les vulnérabilités suivantes :

• divulgation de fichiers
• Injection en base de données (Injections SQL via PHP/JSP/ASP et injection XPath)
• Injection XSS (Cross Site Scripting)
• Détection d'exécution de commande (eval(), system(), passtru(), etc.)
• Injection CRLF
• Utilisation de fichiers potentiellement dangereux
• fichiers .htaccess faibles dont la configuration peut être outrepassée
• présence de fichiers de sauvegarde pouvant donner des informations importantes (telles que du code source)
• Shellshock (alias bug Bash)

Wapiti travaille aussi bien en requêtes GET que POST et supporte les formulaires multipages. Il supporte les proxy HTTP, HTTPS et SOCKS5

Wapiti peut être téléchargé à partir de son site officiel : wapiti.sourceforge.net