文章总结： SQLInjectionScout是一款专为BurpSuite设计的SQL注入检测插件，支持被动检测、最小化探测和响应差异分析等功能，可处理XML、JSON、FORM等多种数据格式，通过智能标记系统帮助安全研究人员快速识别潜在SQL注入漏洞，并提供详细的配置选项和直观的用户界面。 综合评分： 81 文章分类： 安全工具,WEB安全,渗透测试,漏洞分析,SRC活动

Burp插件 | SQL注入检测效率翻倍，一键配置自动化检测

JaveleyQAQ

星落安全团队

2025年12月18日 00:00 黑龙江

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送，建议大家能把星落安全团队“设为星标”，否则可能就看不到了啦！

【声明】本文所涉及的技术、思路和工具仅用于安全测试和防御研究，切勿将其用于非法入侵或攻击他人系统以及盈利等目的，一切后果由操作者自行承担！！！

工具介绍

SQL Injection Scout 是一个用于 Burp Suite 的扩展，专为帮助安全研究人员和开发人员检测和分析 SQL 注入漏洞而设计。该扩展提供了丰富的配置选项和直观的用户界面，便于用户自定义扫描和分析过程。

功能特性

• 被动检测SQL

  ：支持对除OPTIONS外的所有请求的参数进行 FUZZ 测试，支持 XML、JSON、FORM等表单数据格式。

• 最小化探测

  ：通过最小化的 payload 探测，减少对目标的影响。

• 响应差异分析

  ：对响应进行 diff 分析，自动标记无趣（灰色）和有趣（绿色）的响应。

• ….

• 判断原理

  ：假设页面参数为反射类型，通过比较 payload 和 diff 的长度，相同则认为无趣。

• 重复内容过滤

  ：对绿色标记的分组进行进一步分析，出现6次以上重复的 diff 被标记为无趣。

• 结果排序

  ：根据颜色对最终结果进行排序展示。

• ✅：标记为值得进一步分析的响应。

• 🔥：标记为存在Sql注入

• Error：标记为检测到SQL Error信息存在Response中

• Max Params：标记为请求参数大于配置数

• Skip URL：匹配配置中需绕过的URL

• 自动匹配

  ：在扫描页面的响应中自动匹配 diff 结果，默认取第一处的差异。

• 正则匹配

  ：正则匹配无需扫描的URL

• 内置范围

  ：支持内置的 scope 范围设置。

• 延时扫描

  ：支持固定抖动+随机抖动发包检测，更精准规避 WAF。

• 自定义扫描参数数量

  ：防止参数过多导致的性能问题或误报，默认50

• 🔥 Fuzz隐藏参数SQL注入

  : 支持用户在原始请求中追加隐藏参数列表，进行FUZZ测试

• 在Site map/HTTP history/Logger面板添加右键菜单，支持检测站点单个与所有请求

• （搭配CaA使用本插件的Fuzz Params List功能）

使用指南

1. 启动 Burp Suite 并确保 SQL Injection Scout 扩展已加载。
2. 在 Extender 选项卡中，找到 SQL Injection Scout 并打开其配置面板。
3. 根据需要调整参数和模式设置。
4. 使用 Burp Suite 的代理、扫描器等功能进行测试，SQL Injection Scout 将自动应用配置并提供结果。

相关地址

关注微信公众号后台回复“入群”，即可进入星落安全交流群！

关注微信公众号后台回复“20251218”，即可获取项目下载地址！

圈子介绍

博主介绍：

目前工作在某安全公司攻防实验室，一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练，擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。

目前已经更新的免杀内容：

• 部分免杀项目源代码

• 星落安全内部免杀工具箱1.0

• CobaltStrike4.9.1星落专版1.7

• 一键击溃windows defender

• 一键击溃火绒进程

• CobaltStrike免杀加载器

• 数据库直连工具免杀版

• aspx文件自动上线cobaltbrike

• jsp文件自动上线cobaltbrike

• 哥斯拉免杀工具 XlByPassGodzilla

• 冰蝎免杀工具 XlByPassBehinder

• 冰蝎星落专版 xlbehinder

• 正向代理工具 xleoreg

• 反向代理工具xlfrc

• 内网扫描工具 xlscan

• Todesk/向日葵密码读取工具

• 导出lsass内存工具 xlrls

• 绕过WAF免杀工具 ByPassWAF

• 等等…

目前星球已满1000人，价格由208元调整为218元(交个朋友啦)，1100名以后涨价至268元。

往期推荐

1.加量不加价 | 星落免杀第二期，助你打造专属免杀武器库

2.【干货】你不得不学习的内网渗透手法

3.【免杀】CobaltStrike4.9.1二开 | 自破解 免杀 修复BUG

4.【免杀】原来SQL注入也可以绕过杀软执行shellcode上线CoblatStrike

查看原文：《Burp插件 | SQL注入检测效率翻倍，一键配置自动化检测》