操作手册

 

 

 登录到站点

 

 

 

 

•  扫描过程中有提示登录的，就手动登录
•  待自动扫描结束后，再手动探索，在被测web页面上手动探索结束后点击确定记录你手动提交的请求，然后【继续仅测试】，等待测试结束

 结果分析、生成报告

 问题默认是按照严重优先级降序排列的，以sql注入作说明

• 问题信息

•  根据请求和响应排查问题

 现在我们要做的是排查高、中、低危险级别的问题，到底是不是问题，一一排查

• 生成报告

• 减少登录次数

 

•  排除路径，类似控件黑名单

 

 安全相关

csrf了解

浅谈CSRF攻击方式 - hyddd - 博客园CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。....https://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.htmlsql注入了解

SQL注入是什么，如何避免SQL注入？SQL 注入（SQL Injection）攻击是发生在应用程序中的数据库层的安全漏洞。简而言之，是在输入的字符串之中注入 SQL 语句，如果在设计不良的程序中忽略了检查，那么这些注入进去的 SQhttp://c.biancheng.net/view/8283.html