本插件仅只插入单引号,没有其他盲注啥的,且返回的结果需要人工介入去判断是否存在注入,如果需要所有注入都测试,请把burp的流量转发到xray。
- burp 插件。
- 在每个参数后面填加一个单引号,两个单引号,如果值为纯数字则多加一个-1、-0。
- 由于不会java,且又是用java写的,代码太烂,就不开源了。
(本来是不打算开源的,但是可能还是有人需要自定义一下,那就开源吧)
- 返回
✔️代表两个单引号的长度和一个单引号的长度不一致,表明可能存在注入。 - 返回
✔️ ==> ?代表着 原始包的长度和两个单引号的长度相同且和一个单引号的长度不同,表明很可能是注入。 - 支持json格式,暂不支持json多层嵌套。
- 支持参数的值是纯数字则-1,-0。
- 监控Proxy 为被动扫描模式,
优先返回响应包,后台再发送payload。 - 监控Repeater 为主动扫描模式,
优先发送payload,待发送完payload后再返回响应包(V1.8以上版本已优化)。 - 同个数据包只扫描一次,算法:
MD5(不带参数的url+参数名+POST/GET)。 - 支持右键发送到插件扫描(哪怕之前扫描过的,仍然可以通过右键发送再次扫描)。
- 支持json多层嵌套
- 新增右键发送到插件扫描
- 优化 监控Repeater 模式下数据包返回速度。
- 修复在burp2.x版本下poxry模式展示内容bug
- 更新相同数据包只扫描一次的算法,算法:MD5(不带参数的url+参数名+POST/GET)
- 取消默认选中“监控Repeater”,增加默认选中“值是数字则进行-1、-0”。
- 变更 监控Proxy模式 为被动模式,提升交互体验感。
- 新增相同数据包只扫描一次。算法:MD5(url+参数名),如果是post包,值变化也不会重新扫描,需要参数名变化才会再次扫描。
- 更新了 一个选项,如果值是纯数字的话就进行-1,-0
- 更新了 原始包的长度和两个单引号的长度相同且和一个单引号的长度不同就返回 ✔️ ==> ?
- 更新支持json格式
- 更新了序列号
- 更新了有变化 打勾
- 更新了如果那个数据包没有参数,那就忽略。这样开 proxy 模式 就不会一堆包了。
