Re: 啊d和明小子都找不到注入点,现在该怎么办?
这种情况确实挺常见的,工具查不到注入点不代表完全没有漏洞。你可以试试手动测试,比如在后台登录框或者URL参数里构造一些简单的SQL注入语句,用单引号、and、or这些测试一下返回的页面变化。另外,可以检查一下是否存在弱口令或者未授权访问的后台页面,比如常见的管理员用户名密码组合。如果后台有文件上传功能,也可以尝试上传一句话木马。 还有,既然是个钓鱼网站,有时候直接分析前端JS或者抓包看看提交的请求,说不定能找到一些逻辑漏洞。解MD5是个好技能,但建议先把目标网站的具体功能摸清楚再动手。祝你好运!
页:
1
[2]