7.使用JSky扫描并测试某管理系统

WaterBear • 2024年3月5日 pm12:06 • 安全优化, 安全防护, 订阅专题

JSky（中文名字为竭思），是深圳市宇造诺赛科技有限公司的产品是一款简明易用的Web漏洞扫描软件，是一款针对与网站漏洞扫描的安全软件，JSky能够评估一个网站是否安全，对网站漏洞分析，判断是否存在漏洞，又称为网站漏洞扫描工具。JSky作为一款国内著名的网站漏洞扫描工具，提供网站漏洞扫描服务，即能查找出网站中的漏洞；网站漏洞检测工具提供网站漏洞检测服务，即能模拟haker危害来评估计算机网站安全的一种评估方法。安全验证测试模块能模拟haker被安全危害，让您立刻掌握问题的严重性。Jsky作为国内著名扫描器，曾经风靡一时，由于其集成pangolin SQL注入危害工具，其实用性还是挺高的，在网络安全性被危害时可以进行交叉扫描使用。目前Jsky最新版本为4.0，网上有破解版本，后续该软件不再提供开发和支持了！

在本专栏中推荐使用Jsky的理由是，jsky比较适合国人的口味，作为国内能够免费获取的商业扫描工具，曾经一段时间基本都有Jsky来扫描网站漏洞，缺点是断更了！一个产品好用还不行，还得有市场，要能挣钱！使用扫描工具对站点进行扫描，其方法和套路基本相同，不同的是不同厂家的工具特色不一样，有的扫描比较齐全，有的识别率高，有的集成度高，总之目前没有一款十全十美的扫描工具，所以在安全验证扫描中，建议进行交叉扫描，不同的扫描软件，其漏洞扫描结果也不一样，本案例介绍扫描漏洞测试的一种思路。虽然文章有些老，但原理和思路是一样的。

7.1使用JSKY扫描漏洞点

JSky安装很简单，按照提示进行简单选择即可使用，其扫描主要通过新建扫描，然后设置扫描的一些选项，一般选择默认选项。直接运行Zwell的JSKY扫描工具，新建一扫描任务，输入网站地址，其他保持默认开始进行检测，很快就发现一个SQL注入点，如图1所示。

图1发现SQL注入点

7.2使用pangonlin进行SQL注入探测

将注入点http://www.wxqxft.com:80/newsinfo.asp?id=170 复制到Pangolin的URL中，然后单击scan进行扫描，如图2所示，探测出数据库为access，然后对表和列进行猜测。

图2猜测表和列

7.3换一个工具进行检查

使用pangolin检测结果并不理想，仅仅猜测出两个表，而且其中的数据也无法全部获取，因此换啊D注入工具进行测试，在检测网址中输入检测地址，然后进行检测，检测完毕后发现两个SQL注入点，如图3所示。

图3 使用啊D找到SQL注入点

7.4检测表段和检测字段

在图3中选择第一个注入点进行注入检测，如图4所示，单击检测后，依次检测表段、检测字段和检测内容，在本次检测中一共获取了3个表，即vote、manage_user以及book表，很明显manage_user为管理员表，因此选择该表进行猜测。检测结果出来后双击该条记录，如图5所示，可以直接复制password。