标签： SQL注入测试工具

游侠安全网从Pangolin作者zwell的微博得到消息：目前只要转发微博，就可以得到全球最佳的SQL注入检测工具之一——pangolin的注册码一套！ 当然，您需要先注册一个新浪微博的帐号。该条微博的地址是：http://e.weibo.com/2270848820/zrlzAdzIz 有兴趣的同学可以去转发！ 同时，也欢迎关注游侠的新浪微博：http://weibo.com/55984512

　　相信做渗透测试的兄弟们都晓得pangolin吧？大名鼎鼎的穿山甲--这个星球上SQL注入检测最好的工具之一。
　　我们知道pangolin的作者是中国黑客界的大牛zwell，在pangolin之后，又推出过一款名为jsky的WEB应用安全检测系统。当然，在网上您可以下载到pangolin和jsky的早期版本--因为，那时候，它们还都是免费发布的。
　　经过几年的不断发展，pangolin和jsky都成了商业版本。与国内外的WEB应用安全检测系统比起来，zwell大牛的作品也是有相当的特色。和zwell聊的时候，他也非常低调，是个埋头做技术的人。今天游侠安全网（www.youxia.org）收到了宇造诺赛（就是将jsky和pangolin商业化运作的公司）邮寄过来的加密狗，于是装上了jsky的最新版，下面游侠将这款优秀的WEB应用安全检测系统展现给大家！
　　依然在我的VMware安装一个Windows服务器操作系统，配置IIS，并放入一个有漏洞的网站，这样展示的时候效果好一些。虚拟机的IP地址是192.168.1.44，我修改了本机的hosts文件，将test.youxia.org映射到上面。
　　我们新建一个扫描，可以看到，现在可选项比以前丰富了许多：
　　
　　可以加载扫描列表，可以扫描网段，还可以配置扫描虚拟主机。还可以设置“附加域”进行某个域详细信息的配置。比如*.youxia.org设置扫描，但是不扫描www.youxia.org这个子域。
　　至于虚拟主机，我们看看如何配置：
　　
　　通过whois查询同一台服务器上的网站，这样在做渗透测试的时候会更加便捷