起因:这两天看各位师傅们的文章,发现长亭的XRay漏洞扫描工具很强大,然后就安装测试了一下,其中就有sql注入的这个靶场
http://59.63.200.79:8004/
本想看看sql注入应该如何复现的,结果令我大吃一惊
竟然扫出来一堆反射性XSS漏洞,然后我试着复现。。。
竟然可以,然后我又试了其他的。。发现也都可以,嘿嘿,这就有意思了
随即我就陷入了沉思,XSS扫出来令人意外,sql注入为什么没发现呢,然后我怀疑是不是http://59.63.200.79:8004/ 和 http://59.63.200.79:8004/shownews.asp?id=170 的问题,发现并不是
那么sql注入去哪了呢?通过阅读文档,初步猜测是深度问题
我们来打开配置文件查看一下
我们将检测深度depth改成2试试
下面我们来验证一下
依然没有,然后我又依次将depth改成0,3,结果同上
于是乎我又拿了第一章做测试结果如下
第一章可以测出sql注入而第二章不行??what
第三章也可以扫到sql注入
我又用AWVS13S扫了一下
也没有报sql注入,至于根本的原因,难道是因为waf?于是我百度了一波,好像确实没有关于xray waf的介绍,这就是本次使用xray遇到的小问题,文章到这里就结束了,如果有师傅知道原因的,请告知多谢
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.