文章总结： TsojanScan-Plus是基于原Burp插件的二次开发版，保留高精度探测优势，新增Jboss、XXL-Job、OSS/Minio漏洞扫描及鉴权绕过检测功能。插件经Vulfocus实测验证，兼容BurpSuite2024，全面覆盖云原生与调度平台场景，适用于渗透测试实战。 综合评分： 65 文章分类： 安全工具,渗透测试,漏洞POC

TsojanScan-Plus：基于原 Burp 漏洞插件重磅二开，新增多漏洞扫描与权限绕过检测

7uup 7uup

渗透安全HackTwo

2026年1月16日 00:01 广东

0x01 工具介绍

针对原版 TsojanScan 插件功能边界的拓展需求，TsojanScan-Plus 完成重磅二次开发，基于经典 BurpSuite 漏洞探测插件核心架构深度优化升级。在保留原版少发包、高精度探测的优势基础上，新增 Jboss 扫描、鉴权绕过检测、SOAP 接口探测等实用功能，还陆续集成 OSS/Minio 对象存储检测、XXL-Job 漏洞扫描等模块，所有新增能力均经 Vulfocus 在线靶场实测验证，让这款集成化 Burp 漏洞插件的探测场景更全面，适配更多渗透测试实战需求。

注意：现在只对常读和星标的公众号才展示大图推送，建议大家把渗透安全HackTwo“设为星标⭐️“否则可能就看不到了啦！

下载地址在末尾 #渗透安全HackTwo

0x02 功能简介

✨ 主要特性

基于原版深度二开，保留核心优势

延续原版 TsojanScan少发包、高精度的探测原则，不增加多余请求量，同时兼容 Burp Suite Pro 2024 + 新版本，修复原版已知兼容性问题，保证插件运行稳定性。

新增多类高危漏洞专项扫描

拓展漏洞检测覆盖范围，新增Jboss 漏洞扫描、XXL-Job 漏洞探测，同时集成OSS/Minio 对象存储检测（listObject），适配云原生、任务调度平台等主流渗透场景。

新增权限绕过与接口探测能力

加入Bypass_Auth_Check 鉴权绕过检测模块，精准识别未授权访问风险；新增 SOAP 协议及各类 Services Api 探测，覆盖更多协议与接口类型的漏洞检测。

实测验证，功能实用性拉满

所有二开新增功能均经过Vulfocus 在线靶场实测验证，POC 检测精准度高，避免误报 / 漏报，可直接投入渗透测试实战使用。

轻量扩容，持续迭代更新

二开过程保持插件轻量性，不占用过多 Burp 资源，后续持续迭代升级（如 v0.0.2/0.0.3 版本陆续新增 OSS、XXL-Job 检测），不断补充实战化检测能力。

兼容原版全量功能，一站式探测

完整保留原版 Fastjson、Nacos、SQL 注入、Log4j2、ThinkPHP 等全量漏洞探测模块，兼顾主动 / 被动双扫描模式，支持自定义黑名单、DNSlog 多平台配置，实现一站式漏洞探测。

0x03更新说明

修复已知bug

0x04 使用介绍

📦使用指南

下载 TsojanScan-Plus 编译好的 JAR 包（项目仓库可获取）；

打开 Burp Suite，进入Extensions > Installed > Add；

选择Java作为插件类型，点击Select file加载下载的 JAR 包，点击Next完成安装；

#

0x05 内部VIP星球介绍-V1.4（福利）

如果你想学习更多渗透测试技术/应急溯源/免杀工具/挖洞SRC赚取漏洞赏金/红队打点等欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群，每天更新1day/0day漏洞刷分上分(2026POC更新至5024+)，包含全网一些付费扫描工具及内部原创的Burpsuite自动化漏洞探测插件/漏扫工具等，AI代审工具，最新挖洞技巧等。shadon/Zoomeye/Quake/Fofa高级会员，CTFShow等各种账号会员共享。详情点击下方链接了解，觉得价格高的师傅后台回复” 星球 “有优惠券名额有限先到先得❗️啥都有❗️全网资源最新最丰富❗️**（🤙截止目前已有2400+多位师傅选择加入❗️早加入早享受）

最新漏洞情报分享：https://t.zsxq.com/d8wtW

👉点击了解加入–>>内部VIP知识星球福利介绍V1.4版本-1day/0day漏洞库及内部资源更新

结尾

免责声明

获取方法

公众号回复20260116获取下载

最后必看-免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。本工具或文章或来源于网络，若有侵权请联系作者删除，请在24小时内删除，请勿用于商业行为，自行查验是否具有后门，切勿相信软件内的广告！

往期推荐

1.内部VIP知识星球福利介绍V1.4（AI自动化工具）

2.CS4.8-CobaltStrike4.8汉化+插件版

3.全新升级BurpSuite2025.12专业(稳定版)

4.最新xray1.9.11高级版下载Windows/Linux

5.最新HCL AppScan Standard

渗透安全HackTwo

微信号：关注公众号获取

后台回复星球加入：知识星球

扫码关注 了解更多

上一篇文章：Nacos配置文件攻防思路总结|揭秘Nacos被低估的攻击面

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：渗透安全HackTwo 7uup 7uup《TsojanScan-Plus：基于原 Burp 漏洞插件重磅二开，新增多漏洞扫描与权限绕过检测》