由靶场第二章存在的XSS漏洞引发的思考

哪吒   ·   发表于 2021-02-23 14:02:22   ·   闲聊灌水区

起因:这两天看各位师傅们的文章,发现长亭的XRay漏洞扫描工具很强大,然后就安装测试了一下,其中就有sql注入的这个靶场
http://59.63.200.79:8004/

本想看看sql注入应该如何复现的,结果令我大吃一惊


竟然扫出来一堆反射性XSS漏洞,然后我试着复现。。。


竟然可以,然后我又试了其他的。。发现也都可以,嘿嘿,这就有意思了

随即我就陷入了沉思,XSS扫出来令人意外,sql注入为什么没发现呢,然后我怀疑是不是http://59.63.200.79:8004/http://59.63.200.79:8004/shownews.asp?id=170 的问题,发现并不是


那么sql注入去哪了呢?通过阅读文档,初步猜测是深度问题


我们来打开配置文件查看一下


我们将检测深度depth改成2试试
下面我们来验证一下


依然没有,然后我又依次将depth改成0,3,结果同上
于是乎我又拿了第一章做测试结果如下


第一章可以测出sql注入而第二章不行??what
第三章也可以扫到sql注入

我又用AWVS13S扫了一下


也没有报sql注入,至于根本的原因,难道是因为waf?于是我百度了一波,好像确实没有关于xray waf的介绍,这就是本次使用xray遇到的小问题,文章到这里就结束了,如果有师傅知道原因的,请告知多谢

打赏我,让我更有动力~

0 条回复   |  直到 2021-2-23 | 1200 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.