xray被动扫描+burpsuite

最新推荐文章于 2024-04-02 14:04:48 发布
最新推荐文章于 2024-04-02 14:04:48 发布
阅读量1.6k 收藏 3
点赞数
分类专栏: Web安全 文章标签: xray 被动扫描 burpsuite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cj_Allen/article/details/109301351
版权

前言:

通常我们在进行web扫描漏洞时候,都是使用各种扫描器输入网址乱扫一通。这种方式虽然大众化,但存在许许多多的缺点。
比如:直接扫描导致访问网站变慢、IP存在被防火墙BAN的可能。
那么今天带来的新姿势就是xray被动式扫描,在我们进行手动浏览器网页时,使用burp抓包,并且对浏览过的网页进行漏洞扫描。

流程如下:浏览器访问目标网址——》burp抓包——》xray检测burp所抓取的数据包。

第一步:打开burp,设置代理。


第二步:浏览器设置代理与burp进行联通。

在这里插入图片描述
此时通过浏览器访问网址后的数据包,都会被burp抓取到,那么如果我们只需要检测某一个web地址,该如何设置呢?
此时我们可以在burp里面设置,方法如下,添加我们需要抓取数据的web地址。
在这里插入图片描述
比如设置为:http://www.baidu.com
设置好了以后,此时我们通过代理好的浏览器访问www.baidu.com、burp就会抓取到数据包,而访问非www.baidu.com的地址,burp则不会抓取数据包。
在这里插入图片描述
第四步:此时我们只是达到了,通过浏览器访问目标地址后,burp能抓取的数据包的功能,但是burp和xray之间还未联通起来。
通过burp设置xray的上游代理,步骤如下。

在这里插入图片描述在这里插入图片描述
第五步:启动xray设置代理

xray.exe webscan --listen 127.0.0.1:7777

在这里插入图片描述
xray设置好代理以后,我们通过浏览器访问我们的目标地址——》burp抓取目标地址的数据包——》xray对burp抓包的数据包进行漏洞检测。

到此,xray+brupsuite的被动扫描就设置完成了。

zhzhzh777
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Burpsuite+xray梦幻联动(超详细版)
Curry_live的博客
04-29 7678
让我们一起坚守网络的一方安全
使用 Burpsuitexray 进行联动
gaomei2009的专栏
08-03 1853
使用 Burpsuitexray 进行联动
rad-xray:xray+rad批量主动扫描
05-03
rad-xray xray+rad批量主动扫描 Usage: 社区版用户 url一行一个放url.txt中,和rad放同文件夹 xray开启监听, ./xray webscan --listen 127.0.0.1:7777 --html-output report__datetime__.html 运行py python3 rad+xray.py 高级版用户 url一行一个放url.txt中 browserscan.py和xray.exe和rad.exe放同一文件夹 运行py: python3 browserscan.py etc 开源的样本大部分可能已经无法免杀,需要自行修改 我认为基础核心代码的开源能够帮助想学习的人 本人从github大佬项目中学到了很多 若用本人项目去进行:HW演练/红蓝对抗/APT/黑产/恶意行为/违法行为/割韭菜,等行为,本人概不负责,也与本人无关 本人已不参
xray批量扫描Python脚本
05-26
使用python语言编写的,xray附件工具,可以实现针对大量url进行批量扫描。 1、将脚本放到xray_darwin_amd64目录(如果是其他版本的xray,需要修改脚本25行); 2、在当前目录下添加一个url.txt,将需要扫描的url粘贴进去(一行一个url) 3、执行python脚本 python3 xray单线程批量检测.py
安全测试 —— 如何使用burpsuite+xray实现联动测试?
最新发布
04-02 392
目的:安全测试过程中手动分析测试与xray自动化扫描测试结合,这样可以从多层保障安全测试的分析,针对平台业务接口量大的安全测试是十分有用的,可以实现双向测试同时开始。
xray run with burpsuite
12-08
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,此为xray联动burpsuite自动运行脚本:自动生成证书、按照日期自动备份历史报告。
漏洞扫描工具xray+批量调用xray脚本
04-09
Xray是一款由国内团队编写的开源Web安全测试工具,主要用于检测和利用Web应用程序中的各种漏洞,包括SQL注入、XSS、CSRF、文件包含、文件上传等。它支持多种操作系统和架构,提供了GUI界面和命令行两种使用方式。 Xray的主要特点如下: 全自动化扫描Xray可以进行全自动化的漏洞扫描,并自动执行漏洞利用过程。 分布式扫描Xray支持多节点分布式扫描,可以快速处理大规模目标站点。 智能信息收集:Xray在漏洞扫描前会对目标站点进行智能信息收集,以便更好地进行漏洞检测和利用。 多种漏洞利用方式:Xray提供多种漏洞利用方式,包括HTTP请求、JavaScript、SQL注入等,可以有效规避防御措施。 以下是Xray常用指令: xray webscan start:启动一个全新的Web漏洞扫描任务。 xray webscan stop:停止当前正在进行的Web漏洞扫描任务。 xray webscan config:配置Web漏洞扫描选项,例如设置代理服务器、设置Cookie、设置扫描策略等。 xray webscan status:查看当前Web漏洞扫描任务的状态和进度。
Xray脚本:(Xray-TCP + XTLS)+(Xray-WebSocket + TLS)+ Web构造管理脚本
02-11
Xray-TLS + Web构建/管理脚本 目录 脚本特性 支持(Xray-TCP + XTLS)+(Xray-WebSocket + TLS)+ Web 集成多版本bbr /锐速安装选项 支持多种系统(Ubuntu CentOS Debian deeped fedora ...) 支持多种指令集(x86 x86_64 arm64 ...) 支持ipv6only服务器(需自行设置dns64) 集成删除阿里云盾和腾讯云盾功能(仅对阿里云和腾讯云服务器有效) 使用Nginx作为网站服务 使用Xray作为首要分流器 使用acme.sh自动申请/更新域名证书 支持选择构建个人网盘作为伪装网页 注意事项 此脚本需要一个解析到服务器的域名(支持cdn) 此脚本安装时间逐步,见 此脚本设计为个人VPS用户使用,不适合机场主使用(此脚本没有多用户管理/流量统计等功能)。 建议在纯净的系统上使用此脚本(VP
burpsuite+xray实现联动测试(手动分析和自动化测试同时进行)
sxyzwq的专栏
06-09 3076
burpsuite+xray实现联动实现安全测试
Xray扫描器与BrupSuite联动
认真走好每一小步
07-25 1236
一款很顶的扫描
BurpSuite搭配Xray被动扫描
The current road is different, love needs to distinguish between right and wrong
02-05 3812
简介 Xray 社区版是长亭科技推出的免费白帽工具,有 xray 漏洞扫描器和 Radium 爬虫工具,是一种功能强大的扫描工具。根据系统选择对应版本,无依赖,无需安装,下载后直接使用。 --plugins 指定要运行的插件,用“,”分隔 --poc 指定要运行的 poc,用 ',' 分隔 --listen 使用代理资源收集器,值为代理地址,(例如:127.0.0.1:1111) --basic-crawler 使用基本爬虫爬取目标并扫描请求 --browser-
渗透测试-地基篇-Xray安装使用-联动burpsuit自动挖洞(十四)
qq_34801745的博客
11-30 7320
** 渗透测试-地基篇-Xray使用-联动burpsuit(十三) ** 作者:大余 时间:2020-11-30 简介: 渗透测试-地基篇: 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 名言: 你对这行的兴趣,决
xray使用初试-扫描登录后的APP
u011975363的专栏
05-06 4292
平时用的扫描器一般是AWVS,appscan等,属于主动扫描,但对于登录后的各种功能都不方便扫描,今天经同事指导,认识了xray扫描器,利用该扫描器配置代理对登录后的app进行了扫描,效果还不错,因此记录下来与大家分享。
Xray+burp联动使用(被动扫描
热门推荐
single_g_l的博客
04-28 1万+
一、Xray工具 1、Xray概念 Xray是一款功能强大的安全评估工具,主要特性有:检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广、代码质量高高级可定制、安全无威胁都是它的特点。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持;编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性;xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 2、下载..
漏洞扫描-Xray教程
m0_72125469的博客
06-04 6816
Xray漏扫工具:主动、被动盲打、POC。
xray bp联动
weixin_53316511的博客
06-09 3228
BP与xray联动 打开BP找到User options 然后看到Upstream Proxy Servers Add添加 端口可以不用填7777(和xray监听端口对应) 第一行可以选着不填 设置完成后 打开xray和浏览器(浏览器需要开BP代理,BP代理常规设置即可,不用修改)看一下效果 流量就会经过BP 然后xray帮我们扫描 这样岂不美哉 ...
BurpSuiteXray联动进行被动扫描实战
永远是少年
01-01 1437
今天继续给大家介绍渗透测试相关知识,本文主要内容是BurpSuiteXray联动进行被动扫描实战。 一、xray简介与下载 二、BurpSuitexray联动简介 三、BurpSuitexray联动实战
burpsuite联动xray进行web安全评估
煜铭2011
12-08 4696
目录 0x00背景 0x01下载运行 下载地址 0x02自动配置xray 0x03 burp联动xray 0x04参考文档 0x00背景 xray(https://github.com/chaitin/xray) 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。 ...
xray burpsuite
08-22
- *2* [xray被动扫描+burpsuite](https://blog.csdn.net/cj_Allen/article/details/109301351)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值