BurpSuite插件 | Xia Sql二开 SQL注入扫描神器！

📖 插件简介

S-XIASQL 是一款专业的 Burp Suite SQL注入检测插件，能够自动化检测Web应用中的SQL注入漏洞。通过智能分析HTTP请求响应，快速识别潜在的SQL注入点，大幅提升渗透测试效率。

✨ 核心功能

1. 🔍 自动SQL注入检测

• 智能参数识别：自动识别URL参数、POST参数、Cookie参数、JSON参数
• 多种Payload测试：
• 单引号测试 (' 和 '')
• 数字型测试 (-1 和 -0)
• 自定义Payload支持
• 响应差异分析：通过比较响应长度差异判断注入点
• 时间盲注检测：检测响应时间超过3秒的延迟注入

2. 🎯 SQL注入确认机制

• 三重验证：
1. 响应长度差异检测
2. SQL错误关键词匹配
3. 三引号验证 (''') 确认
• 高可信度标记：确认的SQL注入点标红显示，可信度90%以上
• 独立确认面板：专门的"存在SQL注入"表格，一目了然

3. 🔄 自动URL解码测试

• 递归解码：自动识别并解码URL编码的参数值
• 嵌套JSON检测：解码后自动检测JSON格式并测试内部参数
• 深度测试：支持多层编码的参数测试

4. 🛠️ 一键sqlmap集成

• 自动保存请求包：一键将请求保存为sqlmap可用格式
• 智能命令生成：自动生成sqlmap命令，包含参数和HTTPS支持
• 自定义语法：支持自定义sqlmap参数和tamper脚本
• 目录配置：灵活配置sqlmap和Python路径

5. 📝 自定义Payload

• 自定义SQL语句：支持添加自定义测试Payload
• 空格URL编码：可选将空格自动编码为%20
• 参数值置空：可选在测试时将原参数值置空
• 配置持久化：自定义Payload自动保存到配置文件

6. 🔧 自定义报错信息

• 正则表达式支持：使用正则匹配SQL错误信息
• 多数据库支持：内置MySQL、Oracle、SQL Server、PostgreSQL、SQLite等错误特征
• 中英文错误识别：支持中英文SQL错误信息检测

7. 📊 智能过滤

• 静态资源过滤：自动跳过jpg、png、gif、css、js等静态文件
• 二进制文件检测：自动识别并跳过图片等二进制响应
• 白名单机制：支持域名白名单，只测试指定目标
• 请求去重：基于MD5的请求去重，避免重复测试

8. 🎨 可视化界面

• 双表格视图：
• 左侧：请求列表（来源、URL、返回包长度、状态）
• 右侧：Payload详情（参数、payload、返回包长度、变化、用时、响应码）
• 颜色标记：
• 🔴 红色：确认存在SQL注入
• 🟡 黄色：存在差异，需人工确认
• ⚪ 白色：正常
• 请求/响应查看器：内置Request和Response查看面板

🚀 使用方法

📋 配置选项

🔒 安全特性

• 版本检测：启动时自动检测版本更新
• 代码混淆：使用ProGuard混淆保护，防止逆向破解
• 后台检测：版本检测在后台线程执行，不影响插件加载

📝 更新日志

工具获取

https://github.com/qazwsx5293870/S-XIASQL

文章来源：夜组安全