Burpsuit结合SQLMapAPI产生的批量注入插件(X10)
"以便做一点儿持续性的事儿,因此试着着不断健全这一软件并提升至少的设定。此地接好一篇文章简洁明了的稿子:Burpsuit融合SQLMapAPI造成的大批量引入软件。
1.2变化:
提升过虑设定
提升显示信息結果
提升运作信息提示
提升网站域名正则匹配
全部软件分成3个控制面板:每日任务控制面板、sqlmapapi主要参数配备控制面板、过虑标准控制面板。
每日任务控制面板
Server : SQLmapapi服务项目的iP和端口号
THREAD:一起检验的每日任务总数
Domain:必须检验的网站域名,适用正则匹配
CLEAN:消除每日任务缓存文件目录
TEST:检测SQLmapapi的联接是不是取得成功
START:打开检验
左下以每日任务目录和每日任务情况,右边按键正下方是信息提示地区,正下方为post请求详细信息和扫描仪結果。
sqlmapapi主要参数配备控制面板
这儿的设定参照sqlmap的基本参数。
Tamper:目录中的是sqlmap内置的tamper,文本框中可填写自定的tamper应用 ”,“逗号切分 。
LogFile:设定扫描仪系统日志纪录文档,该文文档存储相对路径为sqlmapapi网络服务器上的相对路径。
过虑标准控制面板
ExcludeSuffix:用于清除某些特定尾缀的post请求,应用正则表达式开展配对。比如:照片、css样式、Js等。
IngoreCase:对ExcludeSuffix开展限定是不是区别英文大小写,默认设置为不区别。
IngoreParams:在对post请求开展相对标准偏差检验时必须忽视的主要参数,应用”,“逗号切分,比如:post请求中的随机数timeStamp等。
ExcludeParams:在对post请求开展过虑时要是存有该主要参数则不将该post请求添加待测目录,比如:图片验证码checkCode等。
左右是依据这一段时间在实际上应用的全过程中常做的某些改动,事件还会依据大伙儿的提议深化对该软件开展提升,谢谢你们的适用。
———————————————————————我是分割线————————————————–
下列是程序流程中的某些编码及其建立构思:
post请求监视段建立编码
public void processHttpMessage(int toolFlag, boolean messageIsRequest, IHttpRequestResponse messageInfo) {
boolean addFlag = false;// 是不是加上到扫描仪目录 // 分辨是不是为requestpost请求、电源开关是不是开启 if (messageIsRequest && sqlmapApiPanel.isStart()) {
String host = helpers.analyzeRequest(messageInfo).getUrl().getHost();
if (host.matches(targetDomian)) {
IRequestInfo iRequestInfo = helpers.analyzeRequest(messageInfo);
// 从?号处断开URL 可区别.com 和 https String url = String.valueOf(iRequestInfo.getUrl());
url = url.indexOf(""?"") > 0 ? url.substring(0, url.indexOf(""?"")) : url;
// 清除特定尾缀URL(eg : .jpg|.png|.ico) if (!excludeSuffix.matcher(url).matches()) {
// 结构每日任务实体线 TaskEntity entity = new TaskEntity(iRequestInfo.getUrl(), // iRequestInfo.getMethod(), // callbacks.saveBuffersToTempFiles(messageInfo), // iRequestInfo);
相关文章
- 1条评论
囤梦双笙2022-05-29 03:24:56- TaskEntity entity = new TaskEntity(iRequestInfo.getUrl(), //
滇ICP备19002590号-1