武装Burp Suite工具:xia SQL自动化测试_插件

武装Burp Suite工具:xia SQL自动化测试_插件

插件作者介绍:本插件仅只插入单引号,没有其他盲注啥的,且返回的结果需要人工介入去判断是否存在注入,如果需要所有注入都测试,请把burp的流量转发到xray。


目录

插件下载:

功能介绍:

(1)监控扫描检测.

(2)主动扫描检测.


插件下载:

GitHub - smxiazi/xia_sql: xia SQL (瞎注) burp 插件 ,在每个参数后面填加一个单引号,两个单引号,一个简单的判断注入小插件。


功能介绍:

返回 ✔️ 代表两个单引号的长度和一个单引号的长度不一致,表明可能存在注入。

返回 ✔️ ==> ? 代表着 原始包的长度和两个单引号的长度相同且和一个单引号的长度不同,表明很可能是注入。

返回 Err 代表响应包中含有数据库报错信息。

返回 diy payload 代表自定义的payload。

返回 time > 3 代表访问网站的时间大于3秒,可利用该功能配合自定义payload功能测试时间盲注。

支持json格式,V1.9以上版本已支持json多层嵌套。

支持参数的值是纯数字则-1,-0。

支持cookie测试

支持右键发送到插件扫描(哪怕之前扫描过的,仍然可以通过右键发送再次扫描)备注:右键发送一定需要有响应包,不然发不过去,这样才能对比和原数据包的长度。

支持自定义payload。

支持自定义payload中的参数值置空。

监控Proxy流量。

监控Repeater流量。

同个数据包只扫描一次,算法:MD5(不带参数的url+参数名+POST/GET)。

支持白名单功能,若多个域名请用,隔开。


(1)监控扫描检测.


(2)主动扫描检测.

相关推荐
风语者日志11 小时前
攻防世界—easyupload
数据库·web安全·ctf·小白入门
用户479492835691511 小时前
什么是XSS攻击,怎么预防,一篇文章带你搞清楚
前端·javascript·安全
白帽子黑客罗哥12 小时前
云原生安全深度实战:从容器安全到零信任架构
安全·云原生·架构·零信任·容器安全·kubernetes安全·服务网络
TG_yunshuguoji12 小时前
亚马逊云代理商:怎么快速构建高安全区块链应用?
网络·安全·云计算·区块链·aws
喜欢你,还有大家12 小时前
企业安全防护之——防火墙
服务器·网络·安全
滑水滑成滑头12 小时前
**发散创新:探索零信任网络下的安全编程实践**随着信息技术的飞速发展,网络安全问题日益凸显。传统的网络安全防护方式已难以
java·网络·python·安全·web安全
pencek13 小时前
HakcMyVM-Apaches
网络安全
光影少年14 小时前
网络安全生态及学习路线
学习·安全·web安全
是Yu欸14 小时前
【仓颉语言】原生智能、全场景与强安全的设计哲学
开发语言·安全·鸿蒙·鸿蒙系统·仓颉语言
酷柚易汛智推官15 小时前
基于MemU的自主代理记忆管理系统:技术解析与实践
java·安全·架构