如何收工找网站的注入点

莫离

这几天迷上了08了，在学习入侵，但是就是找不到一个网站的注入点，用工具也找不到，要是旁注的话，我还不会，还是新手，所以请高手们指点下我，如何手动找网站的注入点，希望高手们能帮帮我！

Free_小东

site:xxxx.com inurl:asp?id=     以此类推 aspx?id=  php?id=     丢啊D里面批量检测，  实在不行找个类似www.xxxx.com/news.asp?id=5 的地方加个单引号  and 1=1 1=2 神马的，   思路自己去扩散

Iotn

把谷歌黑客教程看看把.里面的语句灵活运用

Exploit

二楼说得好！用谷歌构造关键字搜索，这是最快的方法。。不然如果你实在太懒或者是要指定网站你就用safe3吧。。

热心网友6

你好，作为新手先别急着去搞旁注，手动找注入点可以从最基础的入手。 一般来说，你可以在网站URL里带有参数的链接后面加一个单引号 `'`，看看页面是否报错或返回异常；也可以用 `and 1=1` 和 `and 1=2` 对比页面返回是否一致，如果1=1正常、1=2异常，说明可能存在注入。另外，在输入框、搜索框里尝试闭合语句也是常见的思路。 不过说句实在话，现在很多网站都有防注入措施，工具扫不到很常见。更重要的是，未经授权测试他人网站是违法的，建议你先在本地搭建一个测试环境（比如DVWA、SQLi-Labs）去练习，既安全又能真正学到原理。加油！