Web 渗透辅助、一款集成SQLi/XSS/SSTI/NoSQL 全自动化漏洞探测探测插件

0x01 工具介绍xia_tan瞎探是一款轻量化 Web 渗透辅助 BurpSuite 插件集成 SQLi、XSS、SSTI、NoSQL 主流漏洞全自动化探测能力。采用行级 Jaccard 相似度算法与多步布尔盲注对照机制替代传统响应长度比对大幅降低误报。适配 10 类数据库、20 余种模板引擎支持 WAF 绕过延时注入、JSON 操作符检测与 Cookie 参数探测自带黑白域名路径过滤及流量降噪开箱即用有效提升日常渗透漏洞挖掘效率。注意现在只对常读和星标的公众号才展示大图推送建议大家把渗透安全HackTwo设为星标⭐️否则可能就看不到了啦下载地址在末尾 #渗透安全HackTwo0x02 功能介绍✨主要功能全维度漏洞覆盖探测场景全面多漏洞类型支持集成反射XSS、SQL注入、SSTI模板注入、NoSQL注入四大核心Web漏洞探测一站式覆盖主流渗透场景。SQL注入强化适配10种主流数据库MySQL、MSSQL、PostgreSQL等涵盖报错、布尔盲注、延时注入等6种检测方式支持WAF绕过技巧精准匹配不同数据库特性。SSTI深度探测覆盖6大家族20模板引擎采用唯一操作数计算溯源机制精准定位模板语法执行漏洞与XSS探测合并请求提升效率。NoSQL注入适配支持字符串上下文布尔盲注、JSON请求体操作符注入覆盖5类NoSQL数据库24种错误模式适配非关系型数据库场景。Cookie参数拓展可手动启用Cookie参数探测将Cookie参数与GET/POST参数同等对待兼顾特殊注入场景支持参数排除配置。检测模块选项说明默认XSS反射 XSS 检测✅ 启用SQLiSQL 注入检测✅ 启用SSTI模板注入检测✅ 启用NoSQLiNoSQL 注入检测✅ 启用Time-SQLi延时注入检测✅ 启用CookieCookie 参数探测❌ 关闭Cookie 说明启用后Cookie 中的每个参数都会被当作普通参数进行注入探测。建议配合Exclude params排除 CSRF token 等敏感 Cookie避免因修改认证 Cookie 导致请求失败。0x03 更新介绍通过修改请求参数对常见 Web 漏洞进行自动化初步探测的 BurpSuite 扩展插件。支持反射 XSS、SQL 注入10 种数据库、SSTI 模板注入6 大家族 20 引擎、NoSQL 注入采用行级 Jaccard 相似度算法替代传统响应长度对比结合多步布尔盲注对照算法大幅降低误报率。0x04 使用介绍安装指南打开 BurpSuite进入Extender→Extensions→AddExtension type:Java选择xia_tan-1.0.jar加载成功后会出现xia_tan标签页下载公众号回复20260402获取下载