burp与xray联动

最新推荐文章于 2024-07-23 17:35:47 发布
最新推荐文章于 2024-07-23 17:35:47 发布
阅读量746 收藏 1
点赞数
文章标签: 测试类型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzz710107110/article/details/118959899
版权
这篇博客介绍了如何下载并使用Xray工具进行Web安全扫描,特别是如何在Linux/Mac的终端和Windows的Powershell中运行。同时,它详细阐述了如何配置Burp作为代理,将流量转发给Xray进行深度扫描。此外,还提到了如何生成和导入CA证书,以及如何通过命令行参数进行快速测试和自定义配置。
摘要由CSDN通过智能技术生成

下载地址: https://github.com/chaitin/xray/releases
 linux / Mac用户在终端(终端)运行,Windows用户请在Powershell或其他高级Shell中运行,在CMD中运行可能体验不佳。
浏览器导入证书:
 生成CA证书:.\xray_windows_amd64.exe genca
 导入到浏览器

burp与xyay联动:

burp正常设置代理:
在这里插入图片描述
在这里插入图片描述
burp在配置一个下游的代理。将流量抓发给xray进行扫描:发送到本机7777端口
在这里插入图片描述
使用http代理 监听7777端口:进目录 .\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output result.html
使用:
第一次启动 xray 之后,当前目录会生成 config.yml 文件,其中hostname_allowed可以添加测试站点,避免误扫。测试完成后及时删除
查看版本号: .\xray_windows_amd64.exe version
快速测试单个 url,无爬虫: xray_windows_amd64.exe webscan --url http://example.com/?a=b --html-output single-url.html
使用http代理: 监听7777端口:进目录 .\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output result.html
运行当前目录下的 poc 且 不运行内置 poc 进行测试: ws -p ./poc-* -u http://example.com   #1.71增加指令别名。如 ws 等同于 webscan 、 -u 等同于 -url 、-p 等同于 -poc。详细改动可通过 --help 查看

xiao__caicai
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XrayBurp联动
xiaoheizi的博客
06-12 7000
业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试同时进行,可以将xrayburp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,就可以接收到漏洞了。xray根目录打开cmd命令行输入:.\xray.exe webscan –listen 127.0.0.1:8989 –html-output “自己的桌面路径\xray.html”命令意思:配置代理进行被动扫描,即本地8989端口进行流量监听,并把流量监听挖掘到的漏洞详情保存到桌面的xray.html文件内。
xray使用初试-扫描登录后的APP
u011975363的专栏
05-06 4428
平时用的扫描器一般是AWVS,appscan等,属于主动扫描,但对于登录后的各种功能都不方便扫描,今天经同事指导,认识了xray扫描器,利用该扫描器配置代理对登录后的app进行了扫描,效果还不错,因此记录下来与大家分享。
网站漏洞扫描软件Burp suite和Xray安装应用及联合使用
最新发布
XLbb的博客
07-23 1411
Burp suite是web应用程序测试的最佳工具之一,其多种功能可以帮助我们执行各种任务;包括数据包请求拦截与修改、扫描web应用程序漏洞,以及暴力破解登录菜单,执行会话令牌等多种的随机性检查。 xray社区是长亭科技推出的免费白帽子工具平台,目前社区有xray、xpoc和radium工具,均有多名经验丰富的安全开发人员;以及数以万名社区贡献者共同打造而成;相比于其他国外扫描器,xray支持反向扫描,可以进行配合手工检测。
xrayburp联动
xhscxj的博客
10-25 3368
xray下载安装先通过PowerShell打开xray所在的目录,运行,生成yaml文件genca在目录下生成证书生产证书后将证书导入浏览器导入后在本地安装一下。
Xray+burp联动使用(被动扫描)
single_g_l的博客
04-28 1万+
一、Xray工具 1、Xray概念 Xray是一款功能强大的安全评估工具,主要特性有:检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广、代码质量高高级可定制、安全无威胁都是它的特点。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持;编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性;xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 2、下载..
白帽子挖洞第I篇作业--burpxray联动笔记
qq_29437513的博客
11-06 3641
xray+awvs联动后,需要配置xrayburp联动,有师傅说过,单个工具扫描深度不够,扫描不出任何东西也扫描不到发送的数据包。 多换几套工具,xray+awvs or xray+crawlergo爬虫,结果可能有mssql 也可能有目录遍历,针对点不同。 内容比较基础,要的是扎扎实实,算不上干货。 01.配置浏览器上游代理,流量转发给burp 端口8081, 02.流量转发burpburp和主机通信,如果抓包放包出问题,看下面 https://blog.csdn.net/qq_42630215
使用 Burpsuite 与 xray 进行联动
gaomei2009的专栏
08-03 1898
使用 Burpsuite 与 xray 进行联动
burpxray联动
05-08
BurpXray联动可以帮助用户更快地检测和发现Web应用程序中的漏洞。 一般来说,BurpXray联动的方式有两种:手动导出请求和自动化。 手动导出请求方式需要用户使用Burp进行抓包,然后将抓包的请求导出为Xray可...
Burpsuite+xray梦幻联动(超详细版)
Curry_live的博客
04-29 7925
让我们一起坚守网络的一方安全
burpXray联动
yzl_007的博客
07-21 5352
burpXray联动 前面使用过Xray联动Rad被动扫描,这里介绍一下Xrayburp联动 xray也常用来与burp联动进行被动式扫描,在进行内网web渗透的时候,能大大提高渗透效率。 1、配置burp 在常规的抓包基础上,burp在配置一个下游的代理。将流量转发给xray进行扫描。在bupp能抓到网站数据包的基础上进行如下配置。这里bp将流量抓发到本机的7777端口 2、开启Xray cd到xray.exe的目录下,启动xary并监听对应地址,输出为html文件 xray_windows_am
xray run with burpsuite
12-08
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,此为xray联动burpsuite自动运行脚本:自动生成证书、按照日期自动备份历史报告。
Xray+具体案例+burp联动(很详细)
huangjun的博客
10-20 2949
一款非常强大的开源工具,可大大提高安全效率,值得学习。
Burp+Xray联动(被动扫描)
m0_65663088的博客
01-26 1238
xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试同时进行,可以将xrayburp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,就可以接收到漏洞了。进入xray目录下,双击ca.crt-->安装证书-->证书存储:受信任的根证书颁发机构-->证书导入成功。我们就可以用浏览器访问页面,xray就会自动的扫描漏洞了。方法2:在浏览器中设置代理。
安全测试 —— 如何使用burpsuite+xray实现联动测试
04-02 535
目的:安全测试过程中手动分析测试xray自动化扫描测试结合,这样可以从多层保障安全测试的分析,针对平台业务接口量大的安全测试是十分有用的,可以实现双向测试同时开始。
burpsuite+xray实现联动测试(手动分析和自动化测试同时进行)
sxyzwq的专栏
06-09 4216
burpsuite+xray实现联动实现安全测试
xrayburp联动扫描
热门推荐
u011975363的专栏
05-12 2万+
上一篇博客主要描述利用xray挂代理进行被动扫描,但扫描器只能扫描出owasp top 10的漏洞,业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试 双管齐下,我们将xrayburp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,这样便可坐收漏洞了。
XRay安装使用以及Burp联动
柠鹿的轨迹
11-09 2万+
0x00 前言 XRay是长亭科技洞鉴核心引擎中提取出的社区版漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描、被动代理扫描、社区POC集成…… XRay 的定位是一款安全辅助评估工具,而不是攻击工具,其内置的所有 payload 和 poc 均为无害化检查。毫不犹豫的说,XRay属于渗透测试人员安全渗透的一大神兵利器! 可以想象,当BurpXRay联动时,必将碰撞出不一样的火花! 0x01 下载XRay ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值