工具推荐|目前为止Xia_sql最强版本

admin
admin
admin
0
文章
0
评论
2025-12-27 01:53:21 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文推荐BurpSuite插件DouSql,它是Xia_sql的二开版本。该工具基于MontoyaAPI重构,支持多种SQL注入检测与智能payload管理,具备参数过滤及黑白名单功能。插件优化了双面板UI与配置持久化,支持跨平台,能显著提升渗透测试中的SQL注入扫描效率,建议安全人员尝试使用。 综合评分: 75 文章分类: 安全工具,渗透测试,WEB安全

cover_image

工具推荐 | 目前为止Xia_sql最强版本

原创

yn8rt

迷人安全

2025年12月26日 16:32 浙江

已从下文提取出关键部分大家可以直接看:

1.已确认json格式可以用,那么说外面付费的xiasql二开可以xx掉了(这个工具就是xiasql的二开)

2.热乎的刚刚好 项目地址: https://github.com/darkfiv/DouSql/

3.原文链接

【BurpSuite插件】Xia Sql二开插件,扫描效率大幅提升,简直是安全仔的梦中神器!

功能改变如上图所示

插件简介

基于Xia Sql 二次开发,感谢前辈铺路。 修复多个不足/bug,满足安全仔的日常渗透神器。

主要功能

核心检测功能

  • 多种SQL注入检测:支持报错注入、时间盲注、布尔盲注等多种检测方式
  • 智能payload管理:内置多种payload组,支持自定义payload配置
  • 实时响应分析:自动分析响应长度、时间、状态码等关键指标
  • 报错信息识别:可配置自定义报错关键字,精确识别SQL错误

高级配置选项

  • 参数过滤系统:支持白名单/黑名单模式,精确控制测试范围
  • URL黑名单过滤:可配置黑名单URL,跳过不需要测试的路径
  • 响应时间阈值:可自定义时间盲注检测阈值
  • 长度差异阈值:可配置响应长度差异检测敏感度
  • HTTP方法过滤:仅对GET/POST请求进行检测,提高效率

用户界面特性

  • 双面板设计:左侧显示扫描结果,右侧显示参数测试详情
  • 实时状态更新:支持报错标记(err)、时间超时标记(time)等状态显示
  • 配置持久化:所有配置自动保存,重启后自动恢复
  • 跨平台兼容:支持Windows、macOS、Linux等多种操作系统

工具集成

  • 多工具支持:支持从Scanner、Proxy、Repeater、Intruder发送请求
  • 右键菜单集成:可通过右键菜单快速发送请求到插件
  • 监控模式:支持实时监控Proxy和Repeater的流量

配置文件说明

插件配置文件统一存储在 xia_sql_config/ 目录下:

  • xia_SQL_diy_payload.ini – 默认payload配置
  • xia_SQL_payload_[组名].ini – 自定义payload组配置
  • xia_SQL_diy_error.ini – 自定义报错关键字
  • xia_SQL_response_time_threshold.ini – 响应时间阈值配置
  • xia_SQL_length_diff_threshold.ini – 长度差异阈值配置
  • xia_SQL_blacklist_urls.ini – 黑名单URL配置
  • xia_SQL_whitelist.ini – 白名单参数配置
  • xia_SQL_blacklist.ini – 黑名单参数配置
  • xia_SQL_param_filter_mode.ini – 参数过滤模式配置

使用方法

  1. 将插件jar文件加载到Burp Suite
  2. 在Extensions标签页中找到”xia SQL”插件
  3. 配置相关检测参数和阈值
  4. 通过右键菜单或监控模式发送请求进行检测
  5. 查看扫描结果和参数测试详情

系统要求

  • Burp Suite Professional 2024.6+
  • Java 11+
  • 支持Windows、macOS、Linux操作系统

开发环境

  • Java 版本:Java 11
  • Burp Suite 版本:2024.8.2
  • 构建工具:Maven 3.x
  • API 框架:Montoya API (Burp Suite 官方扩展 API)

更新记录

V3.0.0(2025-12-25)

  • 基于Montoya API重构,提升稳定性和兼容性
  • 新增payload分组管理功能,支持多种测试场景
  • 优化用户界面布局,改进左右分割面板设计
  • 新增参数过滤系统,支持白名单/黑名单模式
  • 新增黑名单URL过滤功能,支持通配符匹配
  • 新增自定义报错信息检测功能
  • 新增响应时间阈值和长度差异阈值配置
  • 优化时间盲注检测逻辑,支持全payload类型时间检测
  • 新增配置文件统一管理,所有配置持久化保存
  • 修复跨平台兼容性问题,确保Windows/macOS下界面正常显示
  • 新增HTTP方法过滤,仅检测GET/POST请求
  • 优化错误检测优先级,报错信息优先于其他变化标记
  • 新增状态栏时间超时标记,完善检测结果展示
  • 修复多线程并发问题,提升插件稳定性

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:迷人安全 yn8rt《工具推荐 | 目前为止Xia_sql最强版本》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  9