scan

1,首先加入首站

2.将首站prider

3.点击scan。otion里面有关于扫描漏铜的选项

4。观察结果

scan_第1张图片

红色的是高危。但也有不是哪门高。他定义的高的。这个等级的定义可以自己在scan里设置。像login的表单他一般会设置为高危。因为可以暴力嘛。

但像这里测试出的SQLinjection是确实存在的。我之前手工注入也是测试的这个。是GET型的。他都会在报表里说明。还有cookie的都可以看出来。在用SQLmap就ok了。当然还有反射型跨站。存储型的一般扫不出。都在结果里写得很详细。

注明

scan_第2张图片

这里的可以用burpsuit的内部浏览器查看返回的包,但会有编码问题。图中特殊吧。

此外,你想看到它是怎样去测试注入点的,可以点击它的发送包看一看。

scan_第3张图片

像这样就是用的‘这样注入点。

xss这里没有。但是一样可以通过

scan_第4张图片
这样复制他的请求包到浏览器。直观看到弹窗这样的效果。

你可能感兴趣的:(scan)