对于开发人员而言,最痛苦的是性能优化和漏洞扫描。因为这两块,翱嘿幡奸都涉及到专业性很强的知识,并且,很少有人可以掌握。不是大家讪湫毵颞学习能力不行,而是在平时的接触中,根本没有或很少机会,可以接触并了解。因此,直接导致了,当软件性能很慢时或被黑时,才会发现需要进行性能调优,以及对软件的代码进行检查。所以,根据自身的一些经验,下面将介绍如何利用SQL注入工具对软件进行扫描测试工作。
工具/原料
SubgraphVega
JDK
方法/步骤
1、首先,我们得从网站上下载SQL注入工具。然后,对下载的SQL注入工具进行安装处理(需先安装JDK,否则可能安装不了,因为该SQL注入工具需要JRE运行环境)。下面是打开工具的界面:
2、工具打开后,接下来,就是进行一些常规性的设置或定制化的设置。首先是扫描选项,麻质跹礼例:扫描的请求数,扫描的深度等。操作:点击“友腆取缜Window”-"Preferences"选项,弹出的窗体如下:
3、配置完扫描选项后,当然,不是就可以了。还有一个地方,是需要配置的,则扫描的结果显示方式。还是裼沙钔炯上一个步骤的窗体,点击“D髫潋啜缅ebug”选项,如下图所示:(显示有两种:存放到日志文件里;在控制台显示)。
4、基本配置完成后,接下来,当然,就是添加需要测试的软件啦(注意,软件需要是B/S模式的)。操作:点击“+”号,添加测试的软件链接。如下图所示:
5、添加好测试的软件链接后,接着,就要把不需要测试的功能,去掉,否则,测试时间太长,以及也会干扰对测试结果的分析。因我们是对SQL注入测试,所以,只需把相关SQL注入的选项打勾,便可。如下图所示:
6、当然,如果你需要测试的软件,是需要先登录,才能测试的。那么,就得先点击“next”来进行授权登录配置。如下图所示:
7、完成了软件添加后,就会针对该软件自动运行测试。分别要以在“ScanInfo”和“ScanAlerts”里,查看到扫描的及时信息。下面是自动运行的ScanAlerts效果图:
8、然后,双击ScanAlerts的选项,便可以查看到详细的扫描结果信息。