另类找注入点技巧

分类:安全 | 2011-11-12 | 撸过 68 次
0人扯谈

一般的注入点像我这种菜鸟都会用以下方式

1:手工测试下

2:用明小子或者阿D直接浏览页面找注入点

3:通过搜索引擎site:xxx.com inurl:php or asp 之类的

4:safe3 jsky之类的工具抓取连接后工具自动判断~~~ 方式1缺点:只能测试部分页面拉,有点看运气的感觉 方式2缺点:基本和第一个的缺点差不多,不全面,只能浏览部分页面 方式3缺点:搜索引擎收录有限哈,有些站甚至还没收录 方式4缺点:所说是模拟抓取页面链接,在检测,可实际上每次都那么早结束了,爬不完全站,有些站点还限制了这类软件爬行

今天给的思路是:

方案1:

1:自己本地架设个搜索引擎,蜘蛛的名字命名为“Baiduspider”(这样可以规避不少限制,也难被管理发现),

2:然后抓取目标站所需要的页面链接,如收录包含php?asp?这类页面的,避免收录html,htm

3:阿D浏览 本地site:xxx.com 注入点就源源不断的出来拉~~~~ 用此方法,上次成功拿到 世纪佳缘 点几个

用到的工具1:本地php+mysql环境,这个自己下吧~~到处有~~

用到的工具2:蜘蛛系统: 蜘蛛系统开源版本.rar (5.01 MB)

方案2:

原理差不多,没上面那个好~~~因为无法设置规避页面~~~

1:一款sitemap制作工具,模拟爬行全站,生成sitemap.html

2:本地搭建web环境,访问127.0.0.1/sitemap.html

3:阿D检测sitemap上的所有链接~~~

用到的工具1:本地asp环境,这个自己下个netbox吧

用到的工具2: 无限制的SiteMap制作工具.zip

有人找不到蜘蛛系统帐号密码哈~~~~登录密码和使用说明注意压 缩包内文本~~蜘蛛的登录密码和后台的登录是一样的~~

本站内容均为原创,转载请务必保留署名与链接!
另类找注入点技巧:https://www.webshell.cc/2049.html
标签:

相关日志