Что это такое?
Плагин для Burp Suite, который автоматически ищет SQL-инъекции не в параметрах, а в самих путях URL (например, /api/user/[ID]) и в определённых HTTP-заголовках.
Проект / Python
yanxinwu946/Injector---Path-Collector: Injector - Path Collector — плагин Burp Suite для поиска SQL-инъекций в URL-путях
Автоматически находит SQL-инъекции там, где обычные сканеры слепы — в сегментах URL-путей и заголовках XFF.
yanxinwu946/Injector---Path-Collector — open-source проект на Python, который стоит оценить перед внедрением или доработкой.
Для кого это
Для пентестеров и исследователей безопасности, которые проводят аудит веб-приложений через Burp Suite и хотят автоматизировать поиск уязвимостей в нетривиальных местах.
Проблема / задача
Традиционные сканеры SQL-инъекций часто проверяют только параметры запроса (то, что после ?), но полностью игнорируют сами пути URL (например, /api/v1/user/123) и заголовки вроде X-Forwarded-For. Это создаёт слепые зоны, где уязвимость может существовать годами.
Как это работает
Плагин работает внутри Burp Suite, перехватывает трафик и автоматически «фаззит» каждый сегмент пути (разбивает /api/v1/user на api, v1, user) и указанные HTTP-заголовки, подставляя SQL-пейлоады. Умный алгоритм пропускает уже проверенные сегменты для скорости, фильтрует статику (.css, .js) и ищет в ответах характерные ошибки СУБД. Результаты выделяются цветом в интерфейсе.
Что видно по README
Это Python-плагин для Burp Suite, который дополняет стандартные средства поиска SQL-инъекций. Он фокусируется на двух часто упускаемых из вида векторах: самих сегментах URL-пути и заголовках, влияющих на IP (X-Forwarded-For и аналоги). Параллельно инструмент собирает все уникальные пути API, что полезно для разведки. Проект написан на Python 2.7 и требует настройки Jython в Burp.
Ключевые возможности
Технологии
Интересный факт
Плагин использует хэширование (MD5) комбинации метода и пути для уникальной идентификации запросов, что позволяет точно связывать тестовые запросы с исходными, даже при асинхронной многопоточной обработке.
С чего начать
- Настроить Jython в Burp Suite
- Скачать файл Injector.py из репозитория
- Добавить его как Python-расширение в Burp (Extensions -> Add)
- Настроить белый список доменов и включить мониторинг Proxy/Repeater
Оценка GitRadar
Удобство
6/10
Свежесть
7/10
Перспектива
5/10
Монетизация
4/10
Общая оценка
6/10
Вердикт GitRadar
Стоит попробовать, если вы активно используете Burp Suite для пентеста. Это узкоспециализированный, но полезный инструмент, закрывающий конкретную брешь в автоматизации. Однако имейте в виду зависимость от устаревшего Python 2.7.
Наблюдения по обновлениям
Проект имеет мало звёзд и активности (нет форков и issues), что говорит о нишевой аудитории или ранней стадии. Код написан для Python 2.7, что считается устаревшим.
Что мы проверили
Карточка собрана по данным GitHub, README и структуре репозитория. Это не официальная документация проекта.
- Исходный репозиторий
- https://github.com/yanxinwu946/Injector---Path-Collector
- Создан на GitHub
- 3 апреля 2026 г.
- Последнее обновление репо
- 3 апреля 2026 г.
- Последняя проверка GitRadar
- 3 апреля 2026 г.
- Изученные файлы
- README.md, Injector.py
FAQ
Для кого подходит?
Для специалистов по безопасности и пентестеров, которые проводят углублённый аудит веб-приложений с помощью Burp Suite и хотят повысить покрытие тестов.
Источники
Нужна помощь с yanxinwu946/Injector---Path-Collector?
Если проект подходит под ваш сценарий, можем помочь с установкой, интеграцией, доработкой или аккуратным форком под вашу инфраструктуру.