1.个人觉得SQL注入是很好挖到的漏洞之一，感觉这个漏洞很。2.不管挖掘什么漏洞都要先进行信息收集，因为信息收集是渗透测试的灵魂，信息收集可以手工，也可以工具。多去社区看看里面有很好的实战经验以及很多大佬老师推荐的工具，都非常好用。3.我这里就是用的工具进行信息收集的。4.用法是：创建一个txt，里面写上你要收集的东西（支持谷歌语法），也可以过滤你不想碰到的网站，比如：.gov、qq.com