OrderbyHunter

一款辅助探测Orderby注入漏洞的BurpSuite插件

简介

支持Get/Post型请求参数的探测，被动探测，对于存在Orderby注入的请求将会在BurpSuite的HTTP Histroy里标红
自定义排序参数list，对设置的排序相关参数名自动替换参数值，并使用延迟函数测试SQL注入，延迟函数使用了常用的MySQL数据库里的sleep()
注意：如想测试其他数据库软件PostgreSQL、Oracle，请使用相应的pg_sleep()、dbms_lock.sleep()，未测试，简单替换未必可行
对于请求参数值中出现desc/asc等排序字样的参数名，如未出现在排序参数list里，将会写入文件newOrderByParams.txt，方便后续添加

测试demo可参考我的上一个仓库