浏览器代理结合Xray扫描

最新推荐文章于 2024-12-05 19:27:13 发布
最新推荐文章于 2024-12-05 19:27:13 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Blue_Starry_sky/article/details/113032244
版权

Xray是一个方便有用的漏洞扫描工具,综合了许多常见的poc和漏洞,怎样才能更好的使用xray去发现漏洞?

最简单的方法是直接使用浏览器+xray,然后需要主动去触发网站的内容,这样才能进行扫描。

首先,从GitHub下载xray,启动xray使用命令

.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output test.html

具体的参数意义可以去xray的readme.md查询,一般我喜欢将上述命令写成.bat,直接使用bat启动会比较方便,也使用命令窗启动。

接下来打开浏览器,设置代理和启动xray的端口一致,如下图:

接着将xray的证书导入浏览器中,打开代理,访问目标网站,点击各个功能模块,触发xray的扫描,就可以正常扫描了,如下图:

 

xray代理设置_xray 社区版使用指南
weixin_39867662的博客
11-28 2832
项目地址https://github.com/chaitin/xray/背景在去年的 7 月 7 号,长亭科技四周年的大好日子,我们发布了两款新产品,洞鉴 和 牧云。洞鉴 以资产管理、安全评估、漏洞管理为中心,来解决传统漏洞扫描产品不够贴近业务场景,很难做好安全闭环的问题;牧云 则是站在服务器的角度,为云平台提供更加强有力的安全支撑。这两款新产品的诞生填补了长亭在应用安全解决方案中的一大空缺。在洞...
xray工具—代理扫描、爬虫扫描、Burp联动
剁椒鱼头没剁椒的博客
05-31 4952
Xray是长亭科技推出的一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,支持主动、被动等多种扫描方式,支持WindowsLinuxmacOS多种操作系统,同时支持用户自定义POC。目前xray分为:社区版、高级版、企业版。其中社区版是为免费版本,高级版需要为社区提供贡献获取金币、抽奖、商业销售进行获取,而企业版则只能通过商务购买进行获取。这里确实本来想好好总结一下,但是写着写着,发现确实配置文件都是中文,而且非常好理解,同时Xray
关于Xray代理的一些总结
Fisher
08-19 7786
Xray使用的时候遇到了一些代理问题 在一般的扫描中 为了出现意外情况(可能会封ip或者扫描崩掉)会用代理扫描网站: 1.第一种办法就是直接在**config.yaml**中直接修改代理ip,我这里是将代理改为burp的代理,这样通过burp访问网站,网站数据包以burp为中间人到代理。 一般情况下会将请求设置为200,这样也会防止封ip或者小网站崩掉。 2.第二种就是通过burp的Upstream Proxy Server进行被动扫描配置 这里127.0.0.1:7777 在xray设置被动扫描端口 当
xray的安装方式与联动burp
Dagger_S的博客
08-25 2849
xray的shell与图形化两种安装方式包括链接与其简单的使用方法
工具联动xray
SuperherRo的博客
08-28 699
xray有多强,懂的都懂,本文介绍一些常用工具联动xray进行漏扫。
XRAY(漏洞扫描
genshin_swich的博客
12-05 999
Xray 是一款功能强大的网络安全漏洞扫描工具。它专注于检测 Web 应用程序中的安全漏洞,能够帮助安全人员和开发人员快速发现潜在的安全风险,如 SQL 注入、XSS(跨站脚本攻击)、命令注入等多种常见的 Web 漏洞。
rad+xray漏洞扫描工具
qq_46258964的博客
02-13 8923
rad全名 Radium rad也为长亭科技开发的一款目录爬取工具, 所以结合rad可以更高效的自动爬取。注意rad只是爬取目标的目录,不爬取子域。 下载地址 https://github.com/chaitin/rad 基本使用 要提前安装好谷歌浏览器,才能使用该工具。 rad -t http://example.com 需要手动登录的情况 rad -t http://example.com -wait-login 执行以上命令会自动禁用无头浏览模式,开启一个浏览器供手动登录。 在登录完毕后在命令行界
crawlergo动态爬虫与长亭XRAY结合的被动扫描技术解析
资源摘要信息: "crawlergo_x_XRAY:3600Kee-Teamcrawlergo动态爬虫结合长亭XRAY扫描器的被动扫描功能" 在IT行业与网络安全领域,爬虫技术和漏洞扫描工具是两个重要的技术分支。本资源所介绍的"crawlergo_x_XRAY"是将...
网站漏洞扫描软件Burp suite和Xray安装应用及联合使用
XLbb的博客
07-23 2872
Burp suite是web应用程序测试的最佳工具之一,其多种功能可以帮助我们执行各种任务;包括数据包请求拦截与修改、扫描web应用程序漏洞,以及暴力破解登录菜单,执行会话令牌等多种的随机性检查。 xray社区是长亭科技推出的免费白帽子工具平台,目前社区有xray、xpoc和radium工具,均有多名经验丰富的安全开发人员;以及数以万名社区贡献者共同打造而成;相比于其他国外扫描器,xray支持反向扫描,可以进行配合手工检测。
crawlergo与XRAY联动:实现高效动态爬虫与被动扫描技术
当crawlergo和XRAY扫描结合使用时, crawlergo首先会动态爬取目标网站的所有内容,包括JavaScript动态生成的内容,然后将这些内容传递给XRAY扫描器。XRAY扫描器则会监听这些内容,从中发现漏洞。 这种组合的优点...
Xray安装与使用
qq_60450539的博客
05-06 1062
Xray安装与使用
Xray+burp联动使用(被动扫描
single_g_l的博客
04-28 1万+
一、Xray工具 1、Xray概念 Xray是一款功能强大的安全评估工具,主要特性有:检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广、代码质量高高级可定制、安全无威胁都是它的特点。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持;编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性;xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 2、下载..
xray基本用法以及联动方法
qq_43337502的博客
10-24 4881
xray基本用法以及联动方法下载网址参考网址一、简单爬虫二、联动burp三、联动awvs 下载网址 Github: https://github.com/chaitin/xray/releases (国外速度快) 网盘: https://yunpan.360.cn/surl_y3Gu6cugi8u (国内速度快) 参考网址 https://docs.xray.cool/#/tutorial/introduce 一、简单爬虫 .\xray_windows_amd64 webscan --basic-craw
【渗透工具】xray的安装与使用教程
qq_39972370的博客
03-20 5525
xray 是一款功能强大的安全评估工具,主要用于web安全扫描器。
工具Xray的安装,入门的使用方法
分享Python知识
03-30 1万+
工具Xray的安装,入门的使用方法
Xray+具体案例+burp联动(很详细)
huangjun的博客
10-20 5574
一款非常强大的开源工具,可大大提高安全效率,值得学习。
Xray扫描
热门推荐
秋水的博客
10-06 3万+
简介 xray是一款可以使用HTTP/HTTPS代理进行被动扫描的安全工具,支持功能如下 独立的 URL 扫描 基于 HTTP 的被动代理扫描,同时支持HTTPS SQL注入检测模块 命令注入检测模块 任意重定向检测模块 路径遍历模块 Xray扫描器内置插件 XSS漏洞检测 (key: xss):利用语义分析的方式检测XSS漏洞 SQL 注入检测 (key: sqldet...
白帽子挖洞第III篇作业--xray工具配置代理池(1)
qq_29437513的博客
11-11 2798
这个问题在很早之前就有人反复提过了,某手注找到注入点,被某防护ban了ip,无奈,有了代理池的出现。 xray是支持代理池的,可以参考Freebuf这 https://www.freebuf.com/articles/web/281374.html 01.Xray漏扫的流量、与用户交互流量、web页面交互流量全部经过代理池 如果代理池 出口IP被封禁,那么用户浏览器也不能与网站交互。 02.xray上游代理,漏扫流量直接转发给主机,不经过代理池,访问web端IP为代理池出口IP 在19年以后git上,代
Xray使用的一些经验分享(xray+burp的使用)
墨痕诉清风的博客
10-21 1万+
xray被动扫描器,是我目前个人挖洞过程中,感觉最好用的一款扫描器。这篇博客,分享一下我使用xray的一些小心得吧官方github。
xray扫描的结果在哪?
最新发布
04-03
<think>好的,用户想知道Xray扫描结果的存储位置和查看方式。首先,我需要回忆一下Xray的文档和相关引用内容。根据提供的引用,特别是引用[2]提到使用`--html-output`参数指定输出文件,比如`xray webscan --url http://www.xxxxx.net/ --html-output urlbg.html`,这说明结果可以保存为HTML文件。那存储位置应该就是用户运行命令时指定的路径,或者当前工作目录下的文件名。 另外,引用[3]提到JFrog CLI和Xray集成扫描依赖项,可能结果存储在JFrog的平台中,需要登录查看。但用户的问题更可能针对本地扫描结果。引用[5]提到企业使用Xray进行安全评估,可能涉及内部系统,但同样需要具体输出参数。 可能的存储方式包括命令行参数指定的HTML、JSON或其他格式的文件。用户如果没有指定路径,默认可能是在当前目录。需要检查Xray的文档,但根据现有引用,常见的参数如`--html-output`和`--json-output`,所以结果的位置取决于运行时的参数设置。 查看方式的话,HTML可以用浏览器打开,JSON可以用文本编辑器或解析工具。另外,引用[4]提到反连平台,可能不直接影响结果存储。所以总结下来,用户需要检查运行命令时使用的输出参数,确认输出目录和文件名,然后用合适的方式打开即可。</think>### Xray扫描结果的存储位置及查看方式 Xray扫描结果存储位置和查看方式**取决于扫描时使用的命令行参数**。以下是具体说明: 1. **通过`--html-output`或`--json-output`指定存储路径** 在运行扫描命令时,可通过以下参数自定义输出文件路径: ```bash xray webscan --url http://www.example.com --html-output ./reports/result.html xray webscan --url http://www.example.com --json-output ./reports/data.json ``` - **存储位置**:用户指定的路径(如示例中的`./reports/`目录)[^2]。 - **查看方式**: - `.html`文件:直接用浏览器打开,支持交互式查看漏洞详情。 - `.json`文件:使用文本编辑器或JSON解析工具(如`jq`)分析结构化数据。 2. **默认存储位置(未指定路径时)** 若未明确设置输出路径,Xray会将结果文件生成在**当前命令行工作目录**中,文件名默认为`xray-report.html`或`xray-report.json`[^2]。 3. **集成到其他平台时的存储** 当Xray与工具链集成(如JFrog CLI)时,扫描结果可能上传至平台界面。例如: ```bash jfrog xr scan --project=my-project ``` - **存储位置**:需登录对应平台(如JFrog Xray)查看扫描报告[^3]。 - **查看方式**:通过平台Web界面访问漏洞分析结果。 4. **反连平台日志(如使用反向连接)** 若扫描涉及反连检测(如SSRF漏洞),相关日志可通过以下命令查看: ```bash xray reverse list ``` - **存储位置**:反连平台的日志默认在Xray运行目录下的`reverse.log`[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值