通过几天的学习,基本掌握了几种常用的检测工具,例如:
检测网站注入漏洞的啊D,hdsi,NBSI等工具,这类工具都有一个共同的特点,功能比较全面,除了注入以及数据库表名和字段猜解等功能,还融合了注入后台地址扫描,旁注,几种上传漏洞以及db_owner列目录等功能。
漏洞扫描类,我经常用到的例如xscan,流光等等,最近经常使用天镜脆弱性扫描工具。中文界面,漏洞库比较全。其实漏洞扫描类的软件分很多种,基于漏洞的扫描软件也很多,比如apache tomcat scan,S扫描器等等。我就不一一列举了。
连接工具类,这类工具就没有太多技术含量了,比如sql连接器,小马客户端等等。
从下节开始,我给自己定的目标就是解析网站sql注入的入侵手法,步骤,种类等。