今天被通知说有人针对NOSEC进行注入尝试，让我注意看有没有被注入成功。我觉得很有意思，因为报告里面就是这样表示的"Pangolin HTTP Request"。

现在许多安全厂商将目标对准了Pangolin，病毒厂商呢就将Pangolin视为病毒，而且名字就叫Pangolin黑客工具。另外很多Web IDS也加入了对Pangolin的报警，Websense就是其中之一。实在无语，Pangolin不过就是一个小小的注入工具，犯不着如此“大礼”对待。

之前有许多朋友说到希望Pangolin提供扫描整站注入的功能，顺便结合这两天MS发布的注入扫描工具，我在这八卦一下。我之前的答复是：Pangolin永远是一款针对单点的注入利用工具，不会加入整站扫描功能。为什么呢？一来就Spider功能来说，不够好的Spider我不会拿出来浪费人家的时间;另外就是我也不想加入大量的代码集成到Pangolin只为了提供一个用处不太大的功能，且与之功能不相符。倒不是我看不起一起Web漏洞扫描软件，事实上，他们中的一些的Spider功能确实很差，而且就注入检测这一点通过错误字符匹配的方法来说简直就是糊弄人。

当然，我也绝对不是说在这说说就算了，最近Pangolin更新较慢是因为一直在做JSky，再过一个月就会发布免费版本给大家用了，到时大家就明白一个真正意义上的Web漏洞扫描软件应该是怎么样的。

无聊了这么多，顺便说一说，周未发布Pangolin 1.3.2版本，加入了一些功能，如通过FORM来自动提取POST参数。另外就是一个功能一直没敢加进去：最近吵的很多的数据库群插JS木马的功能。危害性太大，搞不好一些误操作让一些朋友就把人家的站给挂马了，影响很不好，因此暂时还是不加入的好……