1,首先加入首站
2.將首站prider
3.點(diǎn)擊scan厢岂。otion里面有關(guān)于掃描漏銅的選項(xiàng)
4光督。觀察結(jié)果
紅色的是高危。但也有不是哪門高塔粒。他定義的高的结借。這個等級的定義可以自己在scan里設(shè)置。像login的表單他一般會設(shè)置為高危卒茬。因?yàn)榭梢员┝β铩?/p>
但像這里測試出的SQLinjection是確實(shí)存在的船老。我之前手工注入也是測試的這個咖熟。是GET型的。他都會在報(bào)表里說明柳畔。還有cookie的都可以看出來馍管。在用SQLmap就ok了。當(dāng)然還有反射型跨站薪韩。存儲型的一般掃不出确沸。都在結(jié)果里寫得很詳細(xì)。
注明
這里的可以用burpsuit的內(nèi)部瀏覽器查看返回的包俘陷,但會有編碼問題罗捎。圖中特殊吧。
此外拉盾,你想看到它是怎樣去測試注入點(diǎn)的桨菜,可以點(diǎn)擊它的發(fā)送包看一看。
像這樣就是用的‘這樣注入點(diǎn)捉偏。
xss這里沒有倒得。但是一樣可以通過
