文章总结： DouSQL是基于xia_sql二开的BurpSuite插件，用于自动化SQL注入检测。它支持报错、布尔及时间盲注等多种技术，兼容URL、Body、JSON等参数类型，具备参数和JSON内部FUZZ功能。插件通过Proxy监听流量，支持自定义Payload及黑白名单配置，能有效提升渗透测试中SQL漏洞发现效率。 综合评分： 90 文章分类： 安全工具,WEB安全,渗透测试,漏洞分析,产品介绍

【工具】Burp插件DouSql，自动化检测sql注入

原创

track track

泷羽Sec-track

2026年2月3日 16:47 安徽

声明！本文章所有的工具分享仅仅只是供大家学习交流为主，切勿用于非法用途，如有任何触犯法律的行为，均与本人及团队无关！！！

往期推荐：

隧道代理攻防技术战争手册

【工具】Hikvision海康威视综合漏洞利用工具

【好靶场】云安全专场-WP

【工具】Sqlmap中文汉化版

【工具】Shiro反序列化利用工具

公众号：

公众号后台回复260203即可获取工具

DouSQL

DouSQL 是一个功能强大的 Burp Suite SQL 注入自动化检测插件，支持多种检测技术和 FUZZ 功能。基于xia_sql二开

https://github.com/To-be-w1th0ut/DouSQL-Plugin

image-20260203163504652

功能特性

多工具监听

• Proxy (代理)
• Repeater (重放器)
• Scanner (扫描器)
• Intruder (入侵者)
• 右键菜单手动发送 (“Send to DouSQL”)

SQL 注入检测技术

• 报错注入：检测 SQL 错误信息（MySQL、Oracle、PostgreSQL、SQL Server 等）
• 布尔盲注：通过 AND 1=1、AND 1=2 测试
• 时间盲注：通过 SLEEP()、exp(999) 等延迟函数测试
• 数字型注入：对数字参数进行 -1、-0 测试

参数类型支持

• URL 参数 (?id=1)
• Body 参数 (POST 表单)
• JSON 参数 (复杂嵌套结构)
• Cookie 参数
• XML 参数
• Multipart 参数

FUZZ 功能

• 参数 FUZZ：自动测试常见参数（order、sort、id、uid、key 等）
• JSON 内部 FUZZ：对 JSON 参数内部字段进行注入测试
• 参数追加 FUZZ：向请求中追加新参数进行测试

配置文件

所有配置保存在 dousql 目录下：

| 文件名 | 功能 | | — | — | | xia_SQL_diy_payload.ini | 自定义 Payload | | xia_SQL_diy_error.ini | 自定义报错关键字 | | xia_SQL_whitelist.ini | 参数白名单 | | xia_SQL_blacklist.ini | 参数黑名单 | | xia_SQL_blacklist_urls.ini | URL 黑名单 | | xia_SQL_fuzz_params.ini | FUZZ 参数列表 | | xia_SQL_response_time_threshold.ini | 响应时间阈值 | | xia_SQL_length_diff_threshold.ini | 长度差异阈值 | | xia_SQL_param_filter_mode.ini | 参数过滤模式 |

使用方法

安装插件

1. 下载 Dou_Sql

2. 在 Burp Suite 中：Extender → Extensions → Add

3. 选择 DouSQL-Plugin.jar 文件

4. 点击 Next 安装插件

   请在微信客户端打开

配置插件

1. 配置白名单/黑名单（可选）
2. 配置自定义 Payload（可选）
3. 启用要监控的工具（Proxy/Repeater）
4. 开始检测 SQL 注入漏洞

检测流程

HTTP 请求接收
    ↓
方法过滤 (仅 GET/POST)
    ↓
白名单过滤
    ↓
黑名单 URL 过滤
    ↓
静态文件过滤 (jpg、css、js 等)
    ↓
构建 MD5 指纹并去重
    ↓
参数黑白名单过滤
    ↓
遍历参数进行测试
    ↓
发送 Payload 并分析响应
    ↓
记录结果并判断漏洞

响应判断标准

1. 时间阈值：响应时间 > 2000ms（可配置）
2. 长度差异：响应长度差异 > 100 字节（可配置）
3. 报错信息：匹配自定义错误关键字

使用方法

勾选此处即可自动监控

image-20260203163731570

匹配到参数后即可自动打入payload

image-20260203163849339

payload可自定义，报错信息也可自定义

image-20260203163924405

知识星球

可以加入我们的知识星球，包含cs二开，甲壳虫，渗透工具，SRC案例分享，POC工具等，还有很多src挖掘资料包

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：泷羽Sec-track track track《【工具】Burp插件DouSql，自动化检测sql注入》