武裝Burp Suite工具:xia SQL自動化測試_插件
插件作者介紹:本插件僅只插入單引號,沒有其他盲注啥的,且返回的結果需要人工介入去判斷是否存在注入,如果需要所有注入都測試,請把burp的流量轉發到xray。
目錄:
插件下載:
功能介紹:
(1)監控掃描檢測.
(2)主動掃描檢測.
插件下載:
GitHub - smxiazi/xia_sql: xia SQL (瞎注) burp 插件 ,在每個參數后面填加一個單引號,兩個單引號,一個簡單的判斷注入小插件。
功能介紹:
返回 ?? 代表兩個單引號的長度和一個單引號的長度不一致,表明可能存在注入。
返回 ?? ==> ? 代表著 原始包的長度和兩個單引號的長度相同且和一個單引號的長度不同,表明很可能是注入。
返回 Err 代表響應包中含有數據庫報錯信息。
返回 diy payload 代表自定義的payload。
返回 time > 3 代表訪問網站的時間大于3秒,可利用該功能配合自定義payload功能測試時間盲注。
支持json格式,V1.9以上版本已支持json多層嵌套。
支持參數的值是純數字則-1,-0。
支持cookie測試
支持右鍵發送到插件掃描(哪怕之前掃描過的,仍然可以通過右鍵發送再次掃描)備注:右鍵發送一定需要有響應包,不然發不過去,這樣才能對比和原數據包的長度。
支持自定義payload。
支持自定義payload中的參數值置空。
監控Proxy流量。
監控Repeater流量。
同個數據包只掃描一次,算法:MD5(不帶參數的url+參數名+POST/GET)。
支持白名單功能,若多個域名請用,隔開。
(1)監控掃描檢測.
(2)主動掃描檢測.
??
??
??
)
)
)
)
)
)
