文章总结: 本文介绍了一款名为xia_tan的BurpSuite自动化漏洞探测插件,专注于XSS、SQL注入、SSTI和NoSQL注入等Web漏洞的初步扫描。插件采用行级Jaccard相似度算法和布尔盲注算法,有效降低误报并提升检测效率。文章详细说明了其检测范围、技术亮点、扫描流程、配置管理及使用方式,并提供了开源地址。最后包含广告推广内容。 综合评分: 85 文章分类: WEB安全,安全工具,渗透测试,漏洞分析,实战经验
PART 14参数控制
排除参数列表默认过滤 csrf、token、_t、timestamp 等敏感字段。请求间隔、延时注入阈值、相似度阈值均可自定义配置。
重点导读项目结构
xia_tan/
├── src/main/java/burp/
│ ├── BurpExtender.java # 插件入口、右键菜单、HTTP 监听
│ ├── XiaTanPanel.java # UI 面板、配置管理
│ ├── ScanEngine.java # 核心扫描引擎、布尔盲注、CUD 过滤
│ ├── ResponseComparer.java # 行级 Jaccard 相似度、域名路径匹配
│ ├── XSSDetector.java # 反射 XSS 检测
│ ├── SQLiDetector.java # SQL 注入检测(10 数据库)
│ ├── SSTIDetector.java # SSTI 检测(6 家族 20+ 引擎)
│ ├── NoSQLiDetector.java # NoSQL 注入检测
│ ├── ScanResult.java # 结果数据模型
│ └── ScanTableModel.java # 结果表格模型
├── build.bat # 编译脚本
└── build.gradle # Gradle 配置
重点导读使用方式
PART 15手动扫描
在 Proxy/Repeater/Target 模块中右键请求,选择「Send to xia_tan」进行全量扫描,或选择「xia_tan scan…」指定检测类型。
PART 16自动监控
勾选 Monitor Proxy 和 Monitor Repeater,插件自动拦截经过的请求并执行扫描。
PART 17结果查看
结果表格展示主机、方法、URL、参数、漏洞类型、检测细节、判定证据、严重性、响应长度、响应时间、状态码等信息。点击结果行查看完整请求响应,右键复制 URL 或 Payload。
PART 18严重性等级
红色为高置信度确认,橙色为中置信度,白色为低置信度需人工确认,蓝色为信息性提示。
重点导读编译部署
环境要求 JDK 1.8 及以上,Windows 操作系统。执行 build.bat 编译,首次编译自动从 Maven 中央仓库下载 burp-extender-api。编译产物为 build/libs/xia_tan-1.0.jar。
安装步骤:打开 BurpSuite → Extender → Extensions → Add → Extension type 选择 Java → 选择 xia_tan-1.0.jar → 加载成功后出现 xia_tan 标签页。
本文介绍的项目开源地址如下:
https://github.com/mapl3miss/xia_tan
本公众号非项目作者,仅做技术分享。
广告时间
低价考证包括但不限于CISP系列、PMP等等国内网安证书、网络安全交流群请关注公众号后点菜单栏的找棉花糖。
糖心会员站,网络安全必备网站,包括在线内网靶场、web靶场、src靶场、应急响应靶场,以及各种网安资料、教程、方案模版、以及超级多在线工具,99元包年!详细介绍:棉花糖会员站介绍(26年4月26日版本) :在线内网靶场、网安资料方案、在线工具全能资源站,看完介绍百分百心动!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:棉花糖网络安全工具箱 棉花糖糖糖 棉花糖糖糖《炸裂!这款 BurpSuite 插件让 Web 漏洞探测效率提升十倍》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论