Routescan模块缺少初始配置

[liding58]

用的release里的gatherBurp-gatherBurp-1.0.7-SNAPSHOT-jar-with-dependencies

Routescan初始配置只有xxl-job的poc。

【建议】

1. Routescan扫描路径的poc加入导入导出功能
2. Sqlcheck模块能根据报错或变化直观提示注入点
3. 各模块的白名单域名可多行或正则检查
4. 加入各shiro检查模块 :D

[liding58]

Log4j的模块，我之前用的https://github.com/whwlsfb/Log4j2Scan 大神的两个地方看看能不能借鉴，

1. dnslog用collaborator。这个fastjson的也是，现在的也先burp自己获取一个，然后可以在setting的dns贴上去，再去collaboration里看看有没有反连的响应，这个反复能不能简化下。
2. log4j的poc能不能混淆，用于绕过简单的waf。现在的也可以自定义payload，但是只能发一个payload，也不会每次随机化bypass的特征

sqlcheck的地方，功能很好，但实战用下有点累。 一个是注入点都是参数，没办法加进header（有一次我在accept里找到点） 另一个就是上面说的外面看不到初步判断存在注入或者存疑，burp自带的被动测试策略里有两个intrusive级别的SQL injection策略，burp发现加'和不加'有区别且报错有明显的sql信息则在首页有明显提示，挺好用的（有一次瞎点点后靠这个在伪静态的url参数里找到一个点）

[kN6jq]

除shiro检查模块不考虑、其他功能均接受建议并已修改完成，release版1.1.0版已发布