文章总结： 本文介绍了一款基于XiaSql二次开发的BurpSuiteSQL注入检测插件。针对原工具不支持黑白名单参数、路径过滤及Payload分组的痛点，作者进行了功能优化。新插件支持参数黑白名单、URL通配符过滤、自定义Payload组及响应时间长度差异配置，能有效过滤无效请求，大幅提升SQL注入扫描效率，具有较强的实战应用价值。 综合评分： 86 文章分类： 安全工具,WEB安全,渗透测试,实战经验,安全开发

【BurpSuite插件】Xia Sql二开插件，扫描效率大幅提升，简直是安全仔的梦中神器！

原创

DarkFi5

安全鸭

2025年12月25日 20:49 上海

作为一名菜鸟SDL安全工程师，深知将繁琐的手工工作赋能自动化的重要性。在日常工作中，往往会遇到开源工具使用不太符合日常工作需求，从0-1开发一个工具又太麻烦，奈何自己太菜了。因此，作者结合实际工作经验/场景，基于Xia Sql二次开发，写出了这款BurpSuite SQl注入漏洞检测插件，绝对符合你的胃口！

感谢

该项目基于Xia Sql 二次开发，非常感谢前辈铺路。

原Xia Sql插件劣势

这里只代表作者个人使用过程中遇到的不足，谨代表个人看法：

• 不支持黑/白名单参数过滤：有时候只想对指定参数/不想对某些参数进行测试，就可以设置黑白名单参数。
• 不支持路径过滤：测试中有些公共接口存在大量参数，直接发起测试容易浪费资源等，因此想把这部分路径直接加白过滤掉。
• 不支持payload组模式：在某些场景我们可能只想fuzz 默认payload，在某些场景我们可能只想要fuzz orderby类型的payload，因此需要做个payload组进行区分，方便我们针对不同的场景去灵活选择。

因此作者把上面不足的地方全加上了，现在是嘎嘎好用，嘎嘎提效👍

说这么强，又吹牛逼呢？

直接看下插件整体布局吧

插件整体界面和xia sql基本没有什么大的变化，主要是多了这几个核心模块。

• 测试组：用户可以根据不同的场景选择不同的payload测试组，个人感觉这个功能很实用，支持组名增删改操作。

• 黑白名单参数配置：用户自己配置想对哪些参数fuzz，不想对哪些参数fuzz（黑白名单模式无法同时启用）

• 黑名单URL过滤：很多公共接口/无效路径我们不想测试，就在这里加，支持通配符配置。
• 响应时间配置：响应时间超过我们配置的时间大小，就会被标记出来【疑似存在sql注入】。

• 长度差异配置：如果fuzz的响应差异超过这个阀值，也会被标记出来。

实战效果

这两天内部测试爽麻了，不像以前得人工确认半天，现在配置好，直接根据实际应用场景刷就行，到底爽不爽，师傅们说了算～

还有太多漏洞就不放出来了。。。

总结

对我而言，这款插件的惊艳之处在于能快速过滤掉无效的请求，帮我在大量请求中快速筛选出有效结果，是真的很实用，点赞👍。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全鸭 DarkFi5《【BurpSuite插件】Xia Sql二开插件，扫描效率大幅提升，简直是安全仔的梦中神器！》