文章总结： 本文介绍xia_tan作为BurpSuite插件，针对XSS、SQL注入、SSTI和NoSQL注入四类Web漏洞实现自动化探测，采用Jaccard相似度算法与多步布尔盲注对照算法降低误报率，支持多种数据库和模板引擎，提供安装配置指南及图形化操作界面，适用于授权安全测试场景。 综合评分： 79 文章分类： 安全工具,WEB安全,渗透测试,漏洞分析,安全开发

xia_tan：基于BurpSuite的自动化漏洞探测插件

原创

网安工具库 网安工具库

网安工具库

2026年5月3日 10:35 安徽

在小说阅读器读本章

去阅读

更多干货  点击蓝字 关注我们

注：本文仅供学习，坚决反对一切危害网络安全的行为。造成法律后果自行负责！

往期回顾

·科来抓包：企业级小白可用的流量分析工具

·网安人的五一活动-集赞免费领六大付费工具！

·Misc-Galaxysail：一站式 CTF Misc 杂项分析工具

·CialloVOL 1.2：便捷好用的轻量化内存取证分析平台

·近期你还有这些CTF比赛可以参加

·USB抓包工具：Bus Hound

背景分析

当前Web应用安全测试中，XSS漏洞、SQL注入、SSTI模板注入、NoSQL注入是高频出现的高危安全风险，传统检测方式依赖人工验证，效率低下，且常规工具易产生大量误报，增加安全测试人员的工作量。xia_tan作为一款BurpSuite扩展插件，针对上述四类漏洞实现自动化初步探测，采用行级Jaccard相似度算法与多步布尔盲注对照算法优化检测逻辑，有效降低漏洞误报率，支持多种数据库与模板引擎覆盖，能够辅助安全测试人员快速完成授权范围内的Web漏洞初步筛查，提升安全测试的整体效率。

安装介绍

●●●

地址：https://github.com/mapl3miss/xia_tan

环境依赖配置：

●●●

# 安装JDK 1.8及以上版本
# 安装BurpSuite工具

项目编译与构建：

●●●

# 克隆项目源码
git clone https://github.com/mapl3miss/xia_tan.git
# 进入项目根目录
cd xia_tan
# 执行编译脚本
build.bat
# 编译完成后，插件文件位于build/libs目录下

BurpSuite插件加载步骤：

●●●

# 1. 打开BurpSuite
# 2. 进入Extender模块
# 3. 选择Extensions选项
# 4. 点击Add按钮
# 5. 选择Java类型，加载build/libs目录下的xia_tan-1.0.jar文件
# 6. 加载成功后，BurpSuite界面出现xia_tan标签页

功能介绍

xia_tan插件核心作用为自动化初步探测Web应用漏洞，支持检测的漏洞类型包括反射XSS、SQL注入、SSTI模板注入、NoSQL注入，插件无明确给出可直接调用的代码，仅通过图形化界面完成操作。

插件具备广泛的适配能力，SQL注入检测支持10种数据库，SSTI模板注入检测支持20种以上的模板引擎，能够满足多数主流Web应用的漏洞检测需求。

插件采用行级Jaccard相似度算法进行基础漏洞检测，针对布尔盲注场景采用多步布尔盲注对照算法，通过优化算法逻辑，大幅降低漏洞检测的误报率，提升检测结果可靠性。

插件支持手动扫描与自动扫描两种工作模式，同时支持Cookie参数场景下的漏洞探测，支持延时注入检测功能，还可配置域名过滤、路径过滤、参数过滤规则，支持CUD接口开关控制，满足多样化的安全测试场景需求。

插件运行后，会在BurpSuite的专属标签页内展示漏洞检测结果，安全测试人员可根据结果进行后续的人工验证工作，插件仅用于授权的安全测试场景，不可用于非法攻击行为。

如有想获得更多资源和网安圈交流，可以加入网安工具交流群~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安工具库 网安工具库 网安工具库《xia_tan：基于BurpSuite的自动化漏洞探测插件》