文本标记-补充

文本标记问题 - 挖洞404 - 博客园 (cnblogs.com)，根据前面的阐述，进一步解决标记问题。

1、两种场景

一是基于命令行，可以通过直接给出各参数点的起止索引，可以给出参数名称进而标记对应的值，可以给出文本匹配进行标记，可以自动的根据策略进行标记。

二是基于gui，除了以上四种方式，还可以直接选中参数进行标记。

2、标记的相关问题

2.1 统一标记

对于待处理方法来说，比如爆破方法，标记应该是提前被统一处理为list[list[int,int]]类型数据，且检查其各索引从前往后递增，不存在交叉。

业务方法或函数应该注重业务本身，而不需要再注意标记的格式

2.2 标记与业务

使用标记应该在业务内部，同时传递相关的请求信息，url、headers、https_flag、message。

因为如何使用标记是业务决定的，不同业务那么使用标记的动作可能不同，比如xss和sql的poc。

2.3 对url或message标记

反过来说，就是当url设置请求时，不对请求报文进行标记。如果确实需要对请求报文标记，那么就必须采用请求报文设置请求

3、五种标记设置

3.1 直接给出索引

采用逗号分隔，比如0,12,22,25,23,29

3.2 给出参数名称标记其值

• 这里的参数名称指的是url的直接参数，而不包括请求体部
• url不包含空格，因此使用空格分隔多个参数名称，比如name age

3.3 给出文本匹配

• 是直接文本匹配，而不是正则
• 也是使用空格分隔多个待匹配文本，如果需要匹配包含空格本身，可以使用编码
• 匹配各文本是匹配首个项，并且从前向后匹配，避免匹配结果交叉

3.4 自动标记

策略是如果存在url直接参数，则对各直接参数的值进行标记。如果不存在url直接参数，但存在路径参数，则对各级路径进行标记

3.5 GUI选择标记

可以直接记录索引，可以考虑使用右键菜单获取设置的索引list