1,首先加入首站
2.将首站prider
3.点击scan。otion里面有关于扫描漏铜的选项
4。观察结果
红色的是高危。但也有不是哪门高。他定义的高的。这个等级的定义可以自己在scan里设置。像login的表单他一般会设置为高危。因为可以暴力嘛。
但像这里测试出的SQLinjection是确实存在的。我之前手工注入也是测试的这个。是GET型的。他都会在报表里说明。还有cookie的都可以看出来。在用SQLmap就ok了。当然还有反射型跨站。存储型的一般扫不出。都在结果里写得很详细。
注明
这里的可以用burpsuit的内部浏览器查看返回的包,但会有编码问题。图中特殊吧。
此外,你想看到它是怎样去测试注入点的,可以点击它的发送包看一看。
像这样就是用的‘这样注入点。
xss这里没有。但是一样可以通过
这样复制他的请求包到浏览器。直观看到弹窗这样的效果。
网友评论