今天作业:
1.安装xray 实现对皮卡丘靶场的主动和被动扫描(需要输出扫描报告)
1)安装xray
2)导入证书
3)安装完成
4)被动扫描
使用命令:xray webscan --listen 127.0.0.1:8989 --html-output resault_1.html
5)设置代理并访问
6)得到扫描结果
7)主动扫描
使用命令:
xray webscan --basic-crawler http://127.0.0.1/pikachu --html-output xray-crawler-testphp.html(将xray_windows_amd64.exe重命名为xray.exe方便使用)
8) 得到扫描结果
2.安装goby,实现对皮卡丘靶场的扫描,无法安装的同学可以安装windows虚拟机,在虚拟机中进行操作
1)安装goby
2)设置扫描参数
3)得到扫描结果
3.实现xray和burpsuite联动扫描
1)配置burb
2)配置firefox
3)xray开始监听
4)burpsuite抓包
5)xray得到扫描结果与之前类似
4.加分项:说明两者联动扫描流量代理后流量走向,即上层代理服务器的工作原理
1)浏览器发起请求:
用户通过浏览器发起HTTP/HTTPS请求
2)经过BurpSuite:
浏览器被配置为使用BurpSuite作为代理服务器
请求首先被发送到BurpSuite,BurpSuite作为中间人拦截这个请求
3)BurpSuite转发请求到上游代理:
在BurpSuite中配置了上游代理服务器,该代理服务器位于BurpSuite与目标服务器之间。BurpSuite将拦截到的请求转发给上游代理服务器
4)上游代理服务器处理请求:
上游代理服务器执行预设好的网络处理,如路由转发、负载均衡、数据加密等。处理后的请求继续发向目标服务器
5)目标服务器响应:
目标服务器接收到请求后,处理并返回响应到上游代理服务器
6)上游代理服务器转发响应给BurpSuite:
上游代理服务器将响应转发给BurpSuite
7)BurpSuite处理响应:
BurpSuite可以拦截、检查、修改响应内容
8)浏览器接收响应:
浏览器显示响应内容给用户。