文章总结： 该文档介绍了一款名为Injector-PathCollector的BurpSuite插件，主要用于解决传统SQL注入扫描器对URL路径片段和XFF请求头中潜在注入点的检测盲区。插件具备路径字典自动收集、自动化路径注入测试、智能路径跳过、静态资源过滤等功能，可有效识别MySQL等主流数据库的报错特征。文档提供了详细的使用方法和配置建议，包括域名白名单设置和状态码过滤等实操指导。 综合评分： 85 文章分类： WEB安全,安全工具,漏洞分析,渗透测试,安全运营

Burp Suite | 解决传统 SQL 注入扫描器的检测盲区——有效识别URL路径片段及隐藏XFF 头中潜在的注入点

yanxinwu946 yanxinwu946

夜组安全

2026年4月8日 08:00 青海

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！所有工具安全性自测！！！VX：NightCTI

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把夜组安全“设为星标”，否则可能就看不到了啦！

工具介绍

Injector - Path Collector 是一款 Burp Suite 插件，旨在解决传统 SQL 注入扫描器的检测盲区——即无法有效识别 URL 路径片段 及 隐藏 XFF 请求头 中潜在的注入漏洞。该插件能够自动甄别非静态接口，对 URL 路径各层级及特定 HTTP 头部进行自动化 Fuzz 测试；同时兼具路径采集功能，自动收集并泛化目标站点接口，帮助安全研究人员快速梳理资产清单。

主要功能

• 路径字典自动收集：实时记录经过 Burp 的唯一接口路径。支持切换 Host+Path 或 单 Path 显示模式，方便直接导出为扫描字典。

• 自动化路径注入：自动拆解 URL 路径层级，在每个路径片段后尝试注入测试 Payload（如 ', ''）。

• **智能路径跳过 (Smart Path Skip)**：若 /api/v1/ 已被验证为安全，后续请求（如 /api/v1/user）将自动跳过对 api 和 v1 片段的重复测试，极大提升扫描效率。

• 静态过滤：自动识别并跳过末尾带有 .（文件后缀）的资源请求，确保扫描仅聚焦于无后缀的 API 业务接口。

• 路径泛化去重：内置智能识别逻辑，自动将路径中的数字（日期、ID）及长哈希（UUID）泛化为 {num} 或 {id} 占位符，避免对相似路径进行冗余扫描。

• 错误特征匹配：内置主流数据库（MySQL, Oracle, SQL Server, PostgreSQL, SQLite）的报错监控，发现异常自动预警。

• 可视化反馈：

• 发现 SQL 错误时，左侧任务列表将整行标记为红色。

• 实时显示响应包长度变化（Diff）、HTTP 状态码及请求耗时。

工具使用

1. 查看结果

• 左侧表格：显示主扫描任务。红色背景表示该路径触发了数据库报错。
• 右侧表格：点击左侧任务，右侧将详细列出该路径下所有注入点（Path_N 层级或 Header）的具体测试响应。

2. 配置说明

| 配置项 | 说明 | 推荐设置 | | — | — | — | | Domain Whitelist | 支持 Regex Search 模式，匹配目标域名。 | .*\.target\.com | | Block Status Codes | 过滤掉不需要测试的状态码，减少干扰。 | 301, 404, 502等 | | Strict Whitelist | 开启后仅扫描白名单内的 Host。 | 默认：关闭 | | Show Host in Dictionary | 路径字典是否显示 Host 前缀。 | 根据导出需求切换 |

工具获取

点击关注下方名片进入公众号

回复关键字【260408】获取下载链接

往期精彩

[16个漏洞扫描器整合工具 |  Web DAST、代码 SAST 和 SCA 能力集成一体

2026-04-07

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496600&idx=1&sn=fa18f94c8217ca82c21d037c8ff11beb&scene=21#wechatredirect)[一体化GUI工具 |  FOFA 资产测绘爬取与 Nuclei 漏洞扫描

2026-04-03

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496594&idx=1&sn=8913f8a550feaed73bfef048d5f9d3b3&scene=21#wechatredirect)[免杀｜个自动patch shellcode到二进制文件的工具

2026-04-02

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496586&idx=1&sn=18a60bca44e77131dc364e495f98c2ac&scene=21#wechatredirect)[浏览器插件 | 指纹识别、DOM XSS 检测、漏洞报告生成、一键 PoC 复现、AI 误报研判

2026-03-31

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496581&idx=1&sn=1577de9295dd182769d749c38cf0b644&scene=21#wechatredirect)[Linux 主机安全巡检与应急响应工具 | 高质量证据采集、结构化报告，面向被黑应急和常规安全检测两大场景

2026-03-30

](https://mp.weixin.qq.com/s?_biz=Mzk0ODM0NDIxNQ==&mid=2247496575&idx=1&sn=643bb5aa90f2730fc6c29124dc663d6a&scene=21#wechatredirect)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夜组安全 yanxinwu946 yanxinwu946《Burp Suite | 解决传统 SQL 注入扫描器的检测盲区——有效识别URL路径片段及隐藏XFF 头中潜在的注入点》