1、安装wapiti --在命令终端输入 pip install wapiti3 (因为这个结合python使用，所以安装的版本要跟python兼容，因为我的python是3.6版本，所以安装的是wapiti3.0.3版本) 2、安装nikto 如何（不安装的话），执行命令时，会出现提示：本地nikto数据库问题 参考：http://www.ddooo.com/softdown/92141.htm

3、安装ActivePerl（因为nikto是依赖ActivePerl环境的） 参考：http://www.ddooo.com/softdown/28027.htm

4、在命令终端输入： wapiti -u https://www.veryeast.cn/ -o G:\work_test\result -f html 就会对网站进行扫描所有的url请求和表单 扫描完之后，就可以对这些rul 进行专项检测，并生成指定格式的报告（我这里指定的是html格式的） 专项检测有： mod_crlf, mod_exec, mod_file, 文件处理 mod_sql, sql注入 mod_xss, xss跨站攻击 mod_backup, mod_htaccess, mod_blindsql, SQL盲注 mod_permanentxss, mod_nikto, mod_delay, mod_buster, mod_shellshock, mod_methods, mod_ssrf, mod_redirect

5、对扫描出来的curl进行验证

1、将报告中出现被攻击的curl复制到浏览器打开

2、就会在浏览器中出现（就说明网站存在xss漏洞）：

3、进一步验证：

将上图中的：alert%28%27wl30tvjf6t%27%29 替换成：alert(document.cookie)，再次执行就会发现用户cookie信息就被显示出来