2025年第34周开源学习周报

瞎越（XiaYue_Pro) 一款专为 Burp Suite 设计的越权漏洞检测插件，能够自动检测 Web 应用中的越权漏洞。插件通过对比不同权限级别下的响应差异，快速识别潜在的越权问题，为安全测试人员提供强大的自动化检测能力。github 地址：https://github.com/winezer0/XiaYue_Pro

使用效果

如下图所示，这款插件可以非常方便的进行多权限对比，也就是说可以在 BurpSuite 界面上同时显示原始响应包、低权限响应包的长度，如果出现包长度相同，则说明可能有越权问题，需要重点查看。可以用来检测垂直越权、水平越权问题。

图片

核心亮点功能

1. 🎯 智能越权检测

• 多权限对比: 自动对比原始权限、低权限、无权限三种状态下的响应
• 智能去重: 基于URL路径、HTTP方法和参数名的MD5去重，避免重复检测
• 响应长度分析: 自动分析响应长度差异，快速识别权限控制失效

2. 🔍 高级过滤系统

• HTTP方法过滤: 支持批量过滤特定HTTP方法（如OPTIONS、HEAD等）
• 接口路径过滤: 精确过滤指定接口路径，支持通配符匹配
• 白名单机制: 灵活的白名单配置，支持多域名批量配置
• 静态资源过滤: 自动过滤图片、CSS、JS等静态资源，提升检测效率

3. 🛠️ 参数替换引擎

• 智能参数替换: 支持GET和POST请求的参数动态替换
• 多格式支持: 兼容form-urlencoded、JSON等多种请求体格式
• 批量规则配置: 支持多行参数替换规则，格式：参数名=新值

4. 📊 可视化数据展示

• 实时数据表格: 清晰的表格展示，支持点击查看详细数据包

• 智能排序: 支持按ID、方法、URL、响应长度等多列排序

• ✔ 表示长度相同（可能存在越权）

• ==> 显示具体差异数值

• 自动标识响应长度差异，用符号显示权限控制状态

5. 🔐 认证信息管理

• 低权限认证: 配置低权限用户的认证信息（Cookie、Token等）
• 未授权配置: 设置需要移除的认证字段
• 万能Cookie: 支持通用Cookie配置，适用于多种场景
• 右键提取: 右键菜单快速提取请求中的认证信息

6. 💾 配置持久化

• 自动保存: 所有配置自动保存到本地文件
• 重启恢复: 重启Burp Suite后自动恢复上次配置
• 快速配置: 右键菜单提供快速配置对话框
• 配置迁移: 支持配置文件的导入导出

7. ⚡ 性能优化

• 智能缓存: 预分割过滤数组，避免重复字符串操作
• 异步处理: 非阻塞式请求处理，不影响Burp Suite性能
• 内存管理: 自动清理旧数据，防止内存溢出
• 调试优化: 移除冗余日志输出，提升运行效率

本插件仅供安全测试和授权渗透测试使用，请遵守相关法律法规，不得用于非法用途。