漏洞扫描之SQL注入扫描测试
对于开发人员而言,最痛苦的是性能优化和漏洞扫描。因为这两块,都涉及到专业性很强的知识,并且,很少有人可以掌握。不是大家学习能力不行,而是在平时的接触中,根本没有或很少机会,可以接触并了解。
因此,直接导致了,当软件性能很慢时或被黑时,才会发现需要进行性能调优,以及对软件的代码进行检查。
所以,根据自身的一些,下面将介绍如何利用SQL注入工具对软件进行扫描测试工作。
操作方法
- 01
首先,我们得从网站上下载SQL注入工具。然后,对下载的SQL注入工具进行安装处理(需先安装JDK,否则可能安装不了,因为该SQL注入工具需要JRE运行环境)。下面是打开工具的界面:
- 02
工具打开后,接下来,就是进行一些常规性的设置或定制化的设置。首先是扫描选项,例:扫描的请求数,扫描的深度等。操作:点击“Window”-"Preferences"选项,弹出的窗体如下:
- 03
配置完扫描选项后,当然,不是就可以了。还有一个地方,是需要配置的,则扫描的结果显示方式。还是上一个步骤的窗体,点击“Debug”选项,如下图所示:(显示有两种:1、存放到日志文件里;2、在控制台显示)。
- 04
基本配置完成后,接下来,当然,就是添加需要测试的软件啦(注意,软件需要是B/S模式的)。操作:点击“+”号,添加测试的软件链接。如下图所示:
- 05
添加好测试的软件链接后,接着,就要把不需要测试的功能,去掉,否则,测试时间太长,以及也会干扰对测试结果的分析。因我们是对SQL注入测试,所以,只需把相关SQL注入的选项打勾,便可。如下图所示:
- 06
当然,如果你需要测试的软件,是需要先登录,才能测试的。那么,就得先点击“next”来进行授权登录配置。如下图所示:
- 07
完成了软件添加后,就会针对该软件自动运行测试。分别要以在“Scan Info”和“Scan Alerts”里,查看到扫描的及时信息。下面是自动运行的Scan Alerts效果图:
- 08
然后,双击Scan Alerts的选项,便可以查看到详细的扫描结果信息。