炸裂!这款BurpSuite插件让Web漏洞探测效率提升十倍

admin 2026-07-12 05:57:33 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文介绍了一款名为xia_tan的BurpSuite自动化漏洞探测插件,专注于XSS、SQL注入、SSTI和NoSQL注入等Web漏洞的初步扫描。插件采用行级Jaccard相似度算法和布尔盲注算法,有效降低误报并提升检测效率。文章详细说明了其检测范围、技术亮点、扫描流程、配置管理及使用方式,并提供了开源地址。最后包含广告推广内容。 综合评分: 85 文章分类: WEB安全,安全工具,渗透测试,漏洞分析,实战经验


PART 14参数控制

排除参数列表默认过滤 csrf、token、_t、timestamp 等敏感字段。请求间隔、延时注入阈值、相似度阈值均可自定义配置。

重点导读项目结构

xia_tan/
├── src/main/java/burp/
│   ├── BurpExtender.java          # 插件入口、右键菜单、HTTP 监听
│   ├── XiaTanPanel.java           # UI 面板、配置管理
│   ├── ScanEngine.java            # 核心扫描引擎、布尔盲注、CUD 过滤
│   ├── ResponseComparer.java      # 行级 Jaccard 相似度、域名路径匹配
│   ├── XSSDetector.java           # 反射 XSS 检测
│   ├── SQLiDetector.java          # SQL 注入检测(10 数据库)
│   ├── SSTIDetector.java          # SSTI 检测(6 家族 20+ 引擎)
│   ├── NoSQLiDetector.java        # NoSQL 注入检测
│   ├── ScanResult.java            # 结果数据模型
│   └── ScanTableModel.java        # 结果表格模型
├── build.bat                      # 编译脚本
└── build.gradle                   # Gradle 配置

重点导读使用方式

PART 15手动扫描

在 Proxy/Repeater/Target 模块中右键请求,选择「Send to xia_tan」进行全量扫描,或选择「xia_tan scan…」指定检测类型。

PART 16自动监控

勾选 Monitor Proxy 和 Monitor Repeater,插件自动拦截经过的请求并执行扫描。

PART 17结果查看

结果表格展示主机、方法、URL、参数、漏洞类型、检测细节、判定证据、严重性、响应长度、响应时间、状态码等信息。点击结果行查看完整请求响应,右键复制 URL 或 Payload。

PART 18严重性等级

红色为高置信度确认,橙色为中置信度,白色为低置信度需人工确认,蓝色为信息性提示。

重点导读编译部署

环境要求 JDK 1.8 及以上,Windows 操作系统。执行 build.bat 编译,首次编译自动从 Maven 中央仓库下载 burp-extender-api。编译产物为 build/libs/xia_tan-1.0.jar。

安装步骤:打开 BurpSuite → Extender → Extensions → Add → Extension type 选择 Java → 选择 xia_tan-1.0.jar → 加载成功后出现 xia_tan 标签页。

本文介绍的项目开源地址如下:

https://github.com/mapl3miss/xia_tan

本公众号非项目作者,仅做技术分享。

广告时间

低价考证包括但不限于CISP系列、PMP等等国内网安证书、网络安全交流群请关注公众号后点菜单栏的找棉花糖。

糖心会员站,网络安全必备网站,包括在线内网靶场、web靶场、src靶场、应急响应靶场,以及各种网安资料、教程、方案模版、以及超级多在线工具,99元包年!详细介绍:棉花糖会员站介绍(26年4月26日版本) :在线内网靶场、网安资料方案、在线工具全能资源站,看完介绍百分百心动!


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:棉花糖网络安全工具箱 棉花糖糖糖 棉花糖糖糖《炸裂!这款 BurpSuite 插件让 Web 漏洞探测效率提升十倍》

评论:0   参与:  0