scan

1，首先加入首站

2.将首站prider

3.点击scan。otion里面有关于扫描漏铜的选项

4。观察结果

红色的是高危。但也有不是哪门高。他定义的高的。这个等级的定义可以自己在scan里设置。像login的表单他一般会设置为高危。因为可以暴力嘛。

但像这里测试出的SQLinjection是确实存在的。我之前手工注入也是测试的这个。是GET型的。他都会在报表里说明。还有cookie的都可以看出来。在用SQLmap就ok了。当然还有反射型跨站。存储型的一般扫不出。都在结果里写得很详细。

注明

这里的可以用burpsuit的内部浏览器查看返回的包，但会有编码问题。图中特殊吧。

此外，你想看到它是怎样去测试注入点的，可以点击它的发送包看一看。

像这样就是用的‘这样注入点。

xss这里没有。但是一样可以通过

这样复制他的请求包到浏览器。直观看到弹窗这样的效果。