欢迎大家一起来Hacking水友攻防实验室学习,渗透测试,代码审计,免杀逆向,实战分享,靶场靶机,求关注
AWVS
我喜欢称之为“阿伟死了”,简单来说就是很难找到合适的破解版的东西,我是用虚拟机来的,基本用法就是:
有的网站需要登录,有的不需要,要登录的话自己注册一个账户,然后点击site login:
然后点击save,然后开始scan,一般默认就可以了
BurpSuit(不推荐,因为是被动扫描所以要结合自动化工具)
这一个的原理是基于“我们访问一个站点就会有site map”在history里面:
1.浏览器开启代理配置相应的IP与端口
注意,,在“项目”的筛选面板中一定要选出适合出现的项目!而且bp是基于那种你必须点击很多可能的注入点然后才会去扫描的。。。所以我觉得挺鸡肋的,不结合xray之类的自动化工具真的很鸡肋。。。