第三天作业

今天作业：

1.安装xray 实现对皮卡丘靶场的主动和被动扫描（需要输出扫描报告）

1）安装xray

2）导入证书

3）安装完成

4）被动扫描

使用命令：xray webscan --listen 127.0.0.1:8989 --html-output resault_1.html

5）设置代理并访问

6）得到扫描结果

7）主动扫描

使用命令：

xray webscan --basic-crawler http://127.0.0.1/pikachu --html-output xray-crawler-testphp.html（将xray_windows_amd64.exe重命名为xray.exe方便使用）

8） 得到扫描结果

2.安装goby，实现对皮卡丘靶场的扫描，无法安装的同学可以安装windows虚拟机，在虚拟机中进行操作

1)安装goby

2）设置扫描参数

3）得到扫描结果

3.实现xray和burpsuite联动扫描

1）配置burb

2）配置firefox

3）xray开始监听

4）burpsuite抓包

5）xray得到扫描结果与之前类似

4.加分项：说明两者联动扫描流量代理后流量走向，即上层代理服务器的工作原理

1）浏览器发起请求：

用户通过浏览器发起HTTP/HTTPS请求

2）经过BurpSuite：

浏览器被配置为使用BurpSuite作为代理服务器

请求首先被发送到BurpSuite，BurpSuite作为中间人拦截这个请求

3）BurpSuite转发请求到上游代理：

在BurpSuite中配置了上游代理服务器，该代理服务器位于BurpSuite与目标服务器之间。BurpSuite将拦截到的请求转发给上游代理服务器

4）上游代理服务器处理请求：

上游代理服务器执行预设好的网络处理，如路由转发、负载均衡、数据加密等。处理后的请求继续发向目标服务器

5）目标服务器响应：

目标服务器接收到请求后，处理并返回响应到上游代理服务器

6）上游代理服务器转发响应给BurpSuite：

上游代理服务器将响应转发给BurpSuite

7）BurpSuite处理响应：

BurpSuite可以拦截、检查、修改响应内容

8）浏览器接收响应：

浏览器显示响应内容给用户。