WEB旁注入侵檢測

第一步：尋找網(wǎng)站的注入點
注入點形如：http://www.xxxxxxx.com/abc.asp?id=2
1.可以直接點擊網(wǎng)站中的鏈接，如果鏈接地址是上面的形式，直接填寫到注入點文本框中
2.也可以用軟件中的“注入點檢測”，在注入點檢測窗口中輸入網(wǎng)址再點擊“連接”按鈕，軟件會自動搜索此網(wǎng)站中的可疑注入點，但是檢測出來的并不是百分之百都可以注入。還可以在注入點檢測窗口打開百度或谷歌，在其中輸入關(guān)鍵字尋找漏洞，例如在搜索框中輸入：inurl:news.asp?id=
檢測出來的注入點會出現(xiàn)在旁注檢測窗體的下面列表里，點擊列表中的注入點時會出現(xiàn)一個菜單，在選擇菜單中的“注入”，此時會將該注入點自動加入到主窗口中的注入點文本框中。

第二步：檢測注入點
點擊“開始注入檢測”按鈕，此時會彈出對話框告訴你注入檢測成功還是失敗，如果檢測失敗那么換一個注入點，如果檢測成功則進入下一步

第三步：猜解表名、猜解列名、猜解內(nèi)容
點擊“猜解表名”按鈕等待猜解結(jié)果，猜解完畢后，如果猜到表名，那么選中一個表名，點擊“猜解列名”，一般情況能猜解出兩個列名，一個是管理員賬號一個是密碼，選擇猜解出來的列名，點擊“猜解內(nèi)容”，在最下面的文本框中出現(xiàn)猜解結(jié)果，如果密碼長度是16位或32的，很可能是用MD5加密后的結(jié)果，此時需要打開MD5破解網(wǎng)站將MD5密文還原回去，有破解失敗的可能。

第四步：掃描后臺登陸地址
點擊“掃描后臺地址”按鈕，會彈出掃描后臺窗口，點擊“開始掃描”即可。存在的頁面會在下面的列表中出現(xiàn)。點擊列表中的地址會彈出一個菜單，選擇“打開”，最后當然是登陸后臺了！

注：應(yīng)該先掃描后臺，如果掃描不到后臺登陸地址，即使得到賬號和密碼也是沒用的