文章总结： 本文介绍两位开发者对BurpSuite插件XIA_SQL的二次开发版本，重点展示新增的SQL注入检测功能。XG小刚版本优化了字符型、数字型等POC检测，增加MyBatis检测和请求速度限制；darkfiv版本支持报错注入、时间盲注等检测方式，提供智能payload管理和33种数据库报错识别。插件支持JSON参数处理、自定义过滤规则及右键菜单集成，配置文件目录结构清晰。 综合评分： 85 文章分类： WEB安全,安全工具,渗透测试,漏洞分析,安全开发

BurpSuite插件XIA_SQL二开推荐

kk kk

扫地僧的茶饭日常

2026年1月3日 09:00 福建

在小说阅读器读本章

去阅读

今天推荐两位师傅@XG小刚@darkfiv针对@smxiazi师傅XIA_SQL进行二开的BurpSuite插件，大概介绍下整体插件内容，大家可选择性使用。

@XG小刚师傅：

1、优化检测POC：字符型'''、''''，数字型/xxgg、/1，order型/*xxgg*/、/*xxgg/

2、优化json格式检测和中文乱码

3、增加MyBatis检测POC：#{xxgg}、#xxgg}

4、增加请求速度限制

5、增加noscan_page跳过参数检测

6、增加add_order增加参数检测

7、增加值为json数据的扫描，支持GET、POST、JSON请求参数内嵌json数据

@darkfiv师傅：

主要功能

核心检测功能

• 多种SQL注入检测

  ：支持报错注入、时间盲注、布尔盲注等多种检测方式

• 智能payload管理

  ：内置多种payload组，支持自定义payload配置

• 丰富的默认字典

  ：包含17种常用SQL注入payload，涵盖时间盲注、布尔盲注、报错注入等

• 实时响应分析

  ：自动分析响应长度、时间、状态码等关键指标

• 全面的报错信息识别

  ：内置33种数据库和框架的错误信息模式，支持MySQL、Oracle、PostgreSQL、SQL Server、SQLite等

• 增强JSON处理

  ：使用Burp Suite内置API处理复杂嵌套JSON结构，支持任意深度的对象、数组和混合数据类型

高级配置选项

• 参数过滤系统

  ：支持白名单/黑名单模式，精确控制测试范围

• URL黑名单过滤

  ：可配置黑名单URL，跳过不需要测试的路径

• 静态文件过滤

  ：自动跳过图片、样式、脚本等静态资源文件（支持30+种文件类型）

• 响应时间阈值

  ：可自定义时间盲注检测阈值

• 长度差异阈值

  ：可配置响应长度差异检测敏感度

• HTTP方法过滤

  ：仅对GET/POST请求进行检测，提高效率

• 自定义延时发包

  ：支持固定延时和随机延时，可配置延时区间（默认1-5秒）

• 自定义追加参数

  ：支持为请求自动追加指定参数，兼容URL、POST、JSON等格式

• 智能参数测试控制

  ：追加参数可选择是否参与payload测试，提供灵活的测试策略

V3.0.4 新增亮点

• JSON参数追加增强

  ：改进JSON格式检测逻辑，使用双重检测机制确保参数正确添加到请求体

• 自定义延时发包

  ：支持三种延时模式，可配置固定或随机延时，避免WAF检测

• 智能追加参数

  ：支持URL、POST、JSON三种格式的参数自动追加，可选择是否参与payload测试

用户界面特性

• 双面板设计

  ：左侧显示扫描结果，右侧显示参数测试详情

• 实时状态更新

  ：支持报错标记(err)、时间超时标记(time)等状态显示

• 配置持久化

  ：所有配置自动保存，重启后自动恢复

• Windows系统优化

  ：针对Windows系统进行UI布局优化，确保所有按钮和组件完整显示

工具集成

• 右键菜单集成

  ：可通过右键菜单快速发送请求到插件

• 选择性监控

  ：默认只监控Proxy和Repeater的流量，需要手动启用对应的监控选项

• 自动检测

  ：通过右键菜单发送的请求会自动进行检测

• 多格式参数支持

  ：支持URL参数、POST参数、JSON参数、XML参数、Cookie参数等

监控模式说明

• Proxy监控

  ：启用后自动检测通过Proxy的所有HTTP流量

• Repeater监控

  ：启用后自动检测Repeater发送的请求

• Scanner/Intruder

  ：默认不自动监控，可通过右键菜单手动发送到插件

• 右键发送

  ：所有工具都支持通过右键菜单发送请求到插件进行检测

配置目录位置

默认配置目录（推荐）：

# WindowsC:\Users\[用户名]\dousql\# macOS/Users/[用户名]/dousql/# Linux  /home/[用户名]/dousql/

配置文件结构：

~/dousql/
├── xia_SQL_diy_payload.ini           # 默认payload配置
├── xia_SQL_payload_timebased.ini     # 时间盲注payload组
├── xia_SQL_payload_orderby.ini       # 报错注入payload组
├── xia_SQL_diy_error.ini             # 自定义报错关键字
├── xia_SQL_response_time_threshold.ini # 响应时间阈值配置
├── xia_SQL_length_diff_threshold.ini  # 长度差异阈值配置
├── xia_SQL_blacklist_urls.ini        # 黑名单URL配置
├── xia_SQL_whitelist.ini             # 白名单参数配置
├── xia_SQL_blacklist.ini             # 黑名单参数配置
└── xia_SQL_param_filter_mode.ini     # 参数过滤模式配置

特殊情况（jar包同级）：

/path/to/extensions/
├── DouSql-3.0.4.jar          # 插件jar包
└── dousql/                   # 配置文件目录
    ├── xia_SQL_diy_payload.ini
    ├── xia_SQL_payload_timebased.ini
    └── ...

配置目录检测日志示例：

ProtectionDomain路径: /var/folders/.../tmp/burp.../20
使用用户主目录: /Users/username
hello DouSQL!
你好 欢迎使用 DouSQL!
version:3.0.4 (Montoya API)
jar包目录: /Users/username
配置文件目录: /Users/username/dousql

两者工具使用方式

1. 打开Burp Suite
2. 进入 Extensions → Installed
3. 点击 Add 按钮
4. 选择编译生成的jar文件
5. 插件加载成功后，会在标签页看到”DouSQL”

插件已打包最新版放后台可发送“20260102”获取

附上各位师傅github地址

https://github.com/xiaogang000/XG_SQL

https://github.com/darkfiv/DouSql

https://github.com/smxiazi/xia_sql

最后附上免费圈子，不定时分享一些实用渗透测试工具，点击下方图片小程序进入

分享内容如下：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：扫地僧的茶饭日常 kk kk《BurpSuite插件XIA_SQL二开推荐》