文章总结： 该文档详细介绍BurpSuite自动化漏洞探测插件xia_tan的功能特性，支持反射XSS、SQL注入（10种数据库）、SSTI模板注入（6大家族20+引擎）和NoSQL注入检测，采用Jaccard相似度算法和多步布尔盲注对照降低误报。插件提供模块开关、CUD操作控制、域名路径过滤等配置选项，并自动跳过静态资源和二进制响应。建议根据实际测试需求调整检测参数和排除规则。 综合评分： 85 文章分类： 安全工具,WEB安全,渗透测试,漏洞分析,红队

编码处理

| 参数类型 | 编码方式 | | — | — | | GET 参数 (PARAM_URL) | URLEncoder.encode() 全编码 | | POST 表单参数 (PARAM_BODY) | 选择性编码（空格、<>&+#|\[\]{}\\） | | JSON 参数 | JSON 转义（", \, \n, \r, \t, \b, \f） |

使用方法

手动扫描

在 Proxy/Repeater/Target 等模块中右键请求：

• Send to xia_tan — 使用当前配置进行全量扫描
• xia_tan scan… — 选择特定检测类型（XSS/SQLi/SSTI/NoSQLi）

自动监控

勾选 Monitor Proxy 和/或 Monitor Repeater，插件会自动拦截经过的请求并进行扫描。

查看结果

| 列 | 说明 | | — | — | | # | 序号 | | Host | 目标主机 | | Method | HTTP 方法 | | URL | 请求 URL | | Param | 注入参数名 | | Type | 漏洞类型 (XSS/SQLi/SSTI/NoSQLi) | | Detail | 检测细节 | | Evidence | 判定证据 | | Severity | 严重性 (High/Medium/Possible/Info) | | Length | 响应长度 | | Time | 响应时间 | | Code | HTTP 状态码 |

点击结果行可在下方查看完整的请求和响应内容。右键可复制 URL 或 Payload。

严重性说明

| 颜色 | 级别 | 含义 | | — | — | — | | 🔴 红色 | High | 高置信度确认（报错注入、布尔盲注确认、延时确认、未编码 XSS 反射、SSTI 运算确认） | | 🟠 橙色 | Medium | 中置信度（NoSQLi 操作符差异、编码反射等） | | ⚪ 白色 | Possible | 低置信度（仅相似度差异、需人工确认） | | 🔵 蓝色 | Info | 信息性（编码反射等） |

实战测试

直接找一个国外的测试一下

https://4.178.62.156/dvwa/security.php

测试一下xss

直接出

测试一下注入

这个国外的网站太慢了，好像有限制，我换了一个国内的靶场

sql也是直接出

其他的不在演示，靶场网上一堆，可以自己测试。

工具地址

https://github.com/mapl3miss/xia_tan/tree/main

总结

实践是检验真理的唯一标准。

交流群

广告：cisp pte/pts &nisp1级2级低价报考

陌笙安全纷传圈子+陌笙src挖掘知识库+陌笙安全漏洞库+陌笙安全面试题库简单介绍（加入纷传圈子送知识库+漏洞库+面试题库）

如果觉得合适可以加入,圈子目前价格39.9元，价格只会根据圈子内容和圈子人数进行上调，不会下跌。。。

圈子福利

edu漏洞挖掘1v1指导出洞

陌笙src挖掘知识库介绍（内容持续更新中）

信息收集(会永久提供fofa-key助力)弱口令漏洞任意文件读取&删除&下载漏洞sql注入漏洞url重定向漏洞未授权访问漏洞挖掘XSS漏洞挖掘等等常见漏洞EDUSRC证书站挖掘案例分享SRC挖掘实战针对各种常见功能总结的常见测试思路等经典常见Nday漏洞复现等各模块不在一一介绍

src挖掘基础

src挖掘实战

edusrc

经典nday复现

陌笙安全漏洞库介绍

1day&0day分享EDU学校相关漏洞Web应用漏洞CMS漏洞OA产品漏洞中间件漏洞云安全漏洞人工智能漏洞其他漏洞

陌笙安全面试库

陌笙纷传圈子介绍

1、src挖掘思维导图，信息收集思维导图，edusrc挖掘思维导图，以及后续的红队&面试思维导图&自己网安笔记等持续更新2、2025-2026的edusrc实战报告包含证书站和非证书站以及2025之前的各种优质报思路分享3、各种src报告思路分享（内部&外部）4、分享各种src挖掘&edusrc挖掘培训资料&视频5、不定期分享通杀、0day6、有圈子群可以技术交流以及不定期抽取证书&免费rank7.分享各种护网资料各家安全厂商讲解视频&精选实战面试题目8、各种框架漏洞技巧分享9、各种源码分享（泛微、正方系统、用友等）10、漏洞挖掘工具&信息收集工具&内网渗透免杀等网安工具分享11、各种ctf资料以及题目分享12、cnvd挖掘技巧&CNVD资产&src资产分享&补天1权重资产分享&fofakey共用13、免杀、逆向、红队攻内网防渗透等课程分享14、漏洞库&字典以各种内容不在一一说明15、cisp-pte/pts&nisp一级&nisp二级&edusrc证书内部价格15、如果有漏洞挖掘问题或者工具资料需求可以找群主(尽量满足)

目前620多条内容，扫码查看详情，持续更新中。。

如果觉得合适可以加入，价格不定期会根据圈子内容和圈子人数进行上调。。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：陌笙不太懂安全 mapl3miss mapl3miss《[工具推荐]BurpSuite 多漏洞自动化探测插件xia_tan (瞎探)》