在測試一個json api的union query漏洞發現api回傳的結果是json字串但表頭不是application/json 而是text/plain會是偽陰性

目前測試起來因為不同的表頭造成sqlmap判斷下一個測試的邏輯差異導致，但要同時比對數十個http response沒什麼工具好用 charles字太小 proxyman的linux版本是beta會噴出例外訊息

proxyman有diff tool但試用只能加兩個進去選單 這推銷手法...兩個裝置授權還45% off

看起來問題不在表頭型別而是 chunked

真相大白，因為是一個api所以回傳長度很短導致觸發了相似度算法的數值調整為0.667導致後續的注入比對認為是失敗的，所以注入的邏輯變動了，因為是一個json的api回傳是包含括號，設定檢測字串包含括號就能正確識別注入，跟表頭類型與chunked無關，只是經過第三方proxy的時候表頭順序跟大小寫調整導致算法符合沒有觸發相似度調整