以前写的文章，今天整理到的，这是以前搞脚本安全的一些经验，扔出来，当时靠 DW的确检测了很多脚本安全问题。
BY：乱雪

来源：0xx.org.cn

挖掘脚本漏洞和软件漏洞相比来说更容易一些，门槛也很低，不需要掌握汇编、系统原理等等高深知识，只需要掌握脚本，甚至没有编写过WEB程序，只要能看得懂代码，也就能挖得到洞。如果一个文件一个文件地去看代码，那太烦琐了，而且工程相当大，这里总结了几个以工具来挖掘的方法：

一、Dreamweaver

Dreamweave做网页是个好东西，挖漏洞更是个好东西，和其他程序比起，我更爱Dreamweaver，灵活运用它，可以更快地挖出脚本中的漏洞。

挖掘之前，先总结一下一般会出现漏洞的几个接受参数的函数：

ASP中的就找找Request....

PHP：$_POST、$_GET、$_REQUEST....

启动Dreamweaver，选择菜单栏上的“编辑”，选“查找和替换”，如图：

随便去下了个ASP程序，以它为例，挖个漏洞出来。

在“查找和替换”对话框中，把“查找范围”选成“文件夹…”，路径就是web程序的路径，然后在“查找”内容里填个request，点击“查找全部”，看结果如图：

接受来的参数都只过滤了空格，双击打开查看他们的源码，代码如下，很明显出现问题了：