由靶场第二章存在的XSS漏洞引发的思考

起因：这两天看各位师傅们的文章，发现长亭的XRay漏洞扫描工具很强大，然后就安装测试了一下，其中就有sql注入的这个靶场
http://59.63.200.79:8004/

本想看看sql注入应该如何复现的，结果令我大吃一惊

竟然扫出来一堆反射性XSS漏洞，然后我试着复现。。。

竟然可以,然后我又试了其他的。。发现也都可以，嘿嘿，这就有意思了

随即我就陷入了沉思，XSS扫出来令人意外，sql注入为什么没发现呢，然后我怀疑是不是http://59.63.200.79:8004/ 和 http://59.63.200.79:8004/shownews.asp?id=170 的问题，发现并不是

那么sql注入去哪了呢？通过阅读文档，初步猜测是深度问题

我们来打开配置文件查看一下

我们将检测深度depth改成2试试
下面我们来验证一下

依然没有，然后我又依次将depth改成0，3，结果同上
于是乎我又拿了第一章做测试结果如下

第一章可以测出sql注入而第二章不行？？what
第三章也可以扫到sql注入

我又用AWVS13S扫了一下

也没有报sql注入，至于根本的原因，难道是因为waf?于是我百度了一波，好像确实没有关于xray waf的介绍，这就是本次使用xray遇到的小问题，文章到这里就结束了，如果有师傅知道原因的，请告知多谢