说明: 本文档为 SQLMap Web UI 的独立变更日志,所有版本更新记录均在此维护。
文档
- 修复
doc/encrypted_params目录下的文档和代码,以process_script_demo.py为准确标准全面对齐 preprocess_script.py:外层字段名改为data,逻辑对齐 coupon 接口(直接对字段值做 Base64 编码/解码)tamper_script.py:内层参数名改为coupon_code,接口路径对齐/api/coupon/queryREADME.md/CAUTIONS.md/USAGE_SCENARIOS.md:字段名、接口、示例代码全面对齐
修复 (CI/CD)
- 修复 GitHub Actions 发版时
softprops/action-gh-release复用已存在的 release 导致版本说明不更新的问题 - 在创建 release 前先删除已存在的同名 release,确保每次发布都使用最新生成的 release_notes.md
文档
- 变更日志从 README 拆分到独立的 CHANGELOG.md 和 CHANGELOG_EN.md 文件
- 更新 AGENTS.md 和 CLAUDE.md 开发者指南
- 在 .gitignore 中添加 tmp/ 目录
新功能 (VulnShop 靶场)
- 新增优惠券系统,支持 Base64 编码参数的 SQL 注入测试场景
- 新增会员中心弹窗功能,支持会员等级查询、积分查询、消费记录
- 新增评价中心弹窗功能,支持商品评价管理和提交
- 新增优惠券查询、搜索、分类筛选功能
修复 (VulnShop 靶场)
- 修复侧边栏菜单项重复显示问题
- 修复评价中心点击跳转错误问题
重构 (Burp 插件)
- Burp 插件架构分层重构,将单一包拆分为清晰的分层结构:
api/- API 客户端 (ApiClient, SqlmapApiClient)config/- 配置管理 (ScanConfig, PresetConfig 等)core/- 扩展入口点 (BurpExtender, SqlmapWebUIExtension)model/- 数据模型 (TitleRule, RegexSource 等)service/- 业务服务 (BinaryContentDetector, RequestDeduplicator)ui/- 用户界面component/- 可复用组件dialog/- 对话框窗口panel/- 配置面板tab/- 主标签页
util/- 工具类 (CommandExecutor, SqlCommandBuilder 等)
- Legacy API 和 Montoya API 插件均采用相同的分层结构
- 纯代码重组织,无功能变更,提升可维护性
修复 (Burp 插件 & 后端)
- 修复 Burp 插件和后端生成的 HTTP 请求文件尾部多余空行导致 SQLMap
-r模式误将 GET 识别为 POST 的问题 - 在 Montoya API、Legacy API 插件以及后端 Task 引擎中增加尾部空行防御性清理逻辑
修复 (Burp 插件)
- 修复 Burp 插件生成的 HTTP 请求文件尾部多余空行导致 SQLMap
-r模式误将 GET 识别为 POST 的问题 - 在 Montoya API 和 Legacy API 插件中增加尾部空行防御性清理逻辑
新功能 (VulnShop 靶场)
- 新增嵌套加密参数 SQL 注入测试场景
- 新增 5 个加密参数测试接口(用户查询、商品搜索、订单查询、调试编码/解码)
- 支持 Base64 编码的嵌套 JSON 参数注入测试
- 提供完整的 Tamper 和 Preprocess 脚本示例
- 配套详细的使用文档和测试场景说明
文档
- 新增
doc/encrypted_params/目录,包含:- README.md - 使用教程
- USAGE_SCENARIOS.md - 各种使用场景
- CAUTIONS.md - 注意事项
- tamper_script.py - Tamper 脚本
- preprocess_script.py - Preprocess 脚本
文档
- 全面更新项目文档,同步最新功能特性
- 更新 README 中英文版本版本号和变更日志
- 更新使用指南文档,补充 Burp 插件命令执行配置说明
- 更新前端 About 页面版本号
- 更新 Burp 插件帮助文档内容
修复 (CI/CD)
- 修复 GitHub Actions 构建 Burp Legacy 插件时
maven-clean-plugin:3.2.0下载 403 Forbidden 错误 - 在两个 Burp 插件 pom.xml 中显式声明
maven-clean-plugin:3.4.0
新功能 (Burp 插件)
- 新增命令执行配置功能,支持直接在终端执行 SQLMap 扫描
- 新增终端窗口标题规则配置,支持自定义标题提取规则
- 新增命令预览对话框,实时预览生成的 SQLMap 命令
- 新增配置导入导出功能,方便备份和分享配置
修复 (扫描任务)
- 修复通过 Burp 插件提交扫描时代理连接超时问题
- 根因:
apply_header_rules()将全部请求头(含Connection: keep-alive、Content-Length)写入 sqlmap 配置文件的headers选项,与请求文件 (-r) 中的 headers 重复,导致Connection: keep-alive绕过 sqlmap 的parseRequestFile过滤被强制添加,耗尽代理连接池 - 现在 headers 仅通过请求文件传递,与命令行直接执行行为一致
修复 (扫描任务)
- 修复 XML body 截断问题(Windows 换行符导致 Content-Length 不匹配)
- 移除 Content-Length 头,让 sqlmap 根据实际 body 自动计算
- 使用二进制模式写入请求文件,避免 Windows 自动换行转换
- 规范化 body 换行符,统一使用标准 HTTP 换行符
改进 (Burp 插件)
- 使用 Gson/PayloadBuilder 替代手动 JSON 字符串拼接
- 消除特殊字符(如 XML 内容)转义不完备的风险
新功能 (VulnShop 靶场)
- 新增物流管理模块,支持订单发货和物流跟踪
- 新增 shipping_handlers 处理物流相关请求
- 更新数据库结构,添加物流信息表
- 更新前端界面,添加物流管理页面和样式
修复
- 修复 task_monitor.py 相关问题
- 移除废弃的 req.txt 文件
新功能 (Burp 插件)
- 新增命令执行配置功能,支持自定义 SQLMap 命令执行方式
- 新增命令执行配置面板,提供可视化配置界面
- 新增命令执行帮助对话框,提供详细的配置说明
- 新增请求标题提取功能,支持从请求中提取自定义标题
- 新增标题规则管理功能,支持创建、编辑、删除标题提取规则
- 新增标题规则测试对话框,支持实时测试规则效果
- 新增命令预览对话框,支持预览生成的 SQLMap 命令
- 新增直接执行配置面板,支持一键执行扫描
重构 (Burp 插件)
- 移除废弃的剪贴板配置面板,替换为更灵活的命令执行配置
- 重构命令执行器,支持配置化的命令执行
- 重构 SQL 命令构建器,增强命令构建能力
- 重构标题提取器,支持多种标题源类型和正则匹配
改进 (Burp 插件)
- 优化上下文菜单集成,提供更丰富的扫描选项
- 改进配置管理器,支持更多配置类型
- 优化预设配置数据库,支持标题规则存储
文档
- 全面重构前端帮助页面,采用模块化设计(8个组件,单文件<700行)
- 新增完整的双语使用指南(中文/英文)
- 更新 Burp Suite 插件帮助文档
- 优化 README 文档结构和导航链接
新功能
- VulnShop 前端页面视觉设计全面改进
- 新增系统日志查看器功能,支持应用日志/访问日志/错误日志切换
- 日志查看器支持自定义显示行数(50/100/200/500行)
修复
- 修复"查看日志"功能点击无反应的问题
- 优化日志显示的界面和交互体验
修复
- 修复 scanPresetService 返回值解包问题
新功能
- 历史配置表格添加排序功能(支持按ID、命令行参数、最后使用时间、使用次数排序)
- 历史配置表格添加分页功能(支持选择每页显示数量)
- 历史配置卡片显示ID标识
修复
- Burp 插件任务创建后自动刷新历史配置表格
新功能
- Burp 插件创建任务后自动保存到历史配置
优化
- 改进历史配置去重逻辑,相同名称相同参数时只更新使用时间
修复
- 修复前端构建时 TypeScript 未使用变量警告导致的构建失败 (TS6133)
重构
- GuidedParamEditor 组件重构为模块化架构
- CustomModePanel 优化,新增 scanOptionsConverter 工具
新功能
- 命令行预览组件采用 GitHub Dark 主题风格,添加终端窗口样式
优化
- Burp 插件 (Montoya & Legacy) 版本同步更新至 1.8.33
修复
- 修复 randomAgent 参数不生效的问题
新功能
- 配置页面自动刷新间隔滑块添加刻度标记(主刻度每5分钟,次刻度每1分钟)
修复
- 修复 AddTask 页面配置触发栏暗色主题适配问题
修复
- 修复 HTTP Host header 中非默认端口被错误移除的问题
重构
- AddTask 页面拆分为模块化组件(ConfigTriggerBar、CustomModePanel、PresetModePanel 等)
新功能
- 支持解析所有 SQLMap 命令行参数(215个参数)
- 前端重构为 PrimeVue 4 简洁主题
- 会话 Header 管理组件模块化
优化
- 优化前端样式和组件布局
- 统一首页和配置页面背景板宽度
- 修复任务列表下拉选框文字截断问题
修复
- 修复前端暗黑模式下多个页面的白色背景问题
- 修复 Burp 插件参数解析和后端参数显示问题
- 修复 Burp 插件 JSON 请求被误判为二进制的问题
新功能
- 添加文件同步脚本支持双 API 架构
- 添加架构文档说明双 API 设计
修复
- 修复引导式参数编辑器的参数显示和加载问题
- 修复 TypeScript 类型错误和 SCSS 变量
修复
- 修复 cURL (Windows CMD) 解析时中文字符前的转义符
^未移除的问题 - 修复 HTTP 报文编辑器长行内容撑开容器的问题,添加软换行支持
修复
- 修复 Burp 插件 (Legacy/Montoya) 中文乱码问题,强制使用 UTF-8 编码处理 HTTP 请求
修复
- 修复任务日志区域无法滚动显示全部日志的问题
修复
- 修复 Burp 插件右键菜单扫描配置来源选择不生效的问题
修复
- 修复会话 Header 和 Body 字段配置不生效的问题
修复
- URL 解析时 host 字段排除端口,保持跨平台一致性
优化
- 优化首页统计卡片尺寸
新功能
- 新增会话 Body 字段动态替换功能
- VulnShop 靶场添加日志系统
- VulnShop 靶场模块化重构并增强安全性
优化
- 提高 VulnShop 靶场鲁棒性,防止 SQLMap 扫描时崩溃
- 调整任务列表空数据区域高度
- API 前缀重命名 (/chrome/admin → /web/admin)
新功能
- 新增后端服务启动脚本(Windows/Linux/macOS)
- 支持自动创建和复用虚拟环境
- 支持配置 PyPI 镜像(清华/阿里/中科大等)
- 支持内网私域镜像配置
- 支持完全离线环境部署
- 新增 WebSocket 实时通知机制,后端可主动推送任务状态变更
- 任务列表页删除和停止操作添加确认对话框
优化
- 优化任务操作线程安全,将同步锁操作移至线程池避免阻塞事件循环
- 优化扫描配置预设选择UI
- 完善提交按钮禁用逻辑和提示信息
- Python 最低版本要求调整为 3.10+
修复
- 解决 Windows/Linux 命令行中文乱码问题
- 修复刷新间隔 API 响应数据结构处理错误
- 新增后端服务免责声明文档
- 新增项目 Logo 设计(盾牌+注入针头概念)
- Web 端:更新 favicon、状态栏、关于页面 Logo
- BurpSuite 插件:新增帮助/关于对话框(含使用帮助、开源协议、免责声明)
- BurpSuite 插件:关于页面使用 Java2D 绘制自定义 Logo
- 修复 PrimeVue 4 组件废弃警告(TabView → Tabs)
- 修复 BurpSuite 插件中 JLabel HTML 渲染问题
- 更新项目文档添加 Logo 展示
- 更新所有项目文档反映最新功能特性
- 完善 AGENTS.md 和 CLAUDE.md AI 编程指南
- 优化用户使用指南文档
- 新增扫描配置预设管理(默认配置/常用配置/历史配置)
- 新增引导式参数编辑器
- 新增 HTTP 请求解析器(支持 cURL/PowerShell/fetch/原始 HTTP)
- 新增代码编辑器组件(行号、语法高亮、搜索)
- 前端代码模块化重构
- 修复 fetch 解析器转义引号处理问题
- 新增请求头规则作用域配置功能
- 新增会话级请求头管理
- 新增批量请求头导入功能
- 任务列表新增汇总统计行
- 任务过滤器增强(日期范围、注入状态)
- 智能轮询策略优化
- 更新项目文档
- 更新项目文档
- 改进 Burp Suite 插件集成
- 修复后端配置问题
- 新增 VulnShop SQL 注入测试靶场
- 支持 8 种 SQL 注入漏洞类型
- 现代化 UI,支持亮色/暗色主题
- 完整购物流程模拟
- 3 种难度级别和 WAF 防护