当通过FUZZ执行SQL注入以及内置的有效负载时。扫描结果显示Code,Reason,State和Payloads中的多个列。
如何分析已发布请求的此列(代码,原因,状态和有效负载)
任何模糊测试活动都需要用户进行人工审核和确认。如果没有关于应用程序,功能和输出的更多细节,我们无法告诉您如何分析模糊测试结果。
基本上,您必须检查模糊结果,与原始(已知良好)请求/响应形成对比。
以下是一些可能对您有所帮助的资源:
如果您不确定HTTP通信,各种攻击技术等是如何工作的,那么最好(从多个角度来看:时间,预算/成本,有效性,理智等)来吸引您的安全团队或将评估工作合同第三方。