![](https://img-blog.csdnimg.cn/20201014180756754.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
x-ray使用
文章平均质量分 57
xray是一款功能强大的安全评估工具,支持常见web漏洞的自动化检测,可以在 Github兔费下载使用(不开源)
星球守护者
要学会感恩同情宽容忍耐积极与真诚。希望是心灵的一种支持力量。逆境的回馈,使生命将更加精彩而富足。
展开
-
x-ray之第五篇-常xray与burpsuit的联动
文章目录xray与burp的联动burp作为xray的上游代理第一步 浏览器与xray代理第二步 编辑xray配置文件与burp的代理xray作为burp的上游第一步 设置burp的上游代理未127.0.0.1:1234第二步 配置浏览器的代理到burp第三步 查看代理生效情况使用burp插件Burp被动扫描流量转发插件第一步 导入插件第二步 查看导入后的第三步 配置burp最为xray的上层代理第四步 使用浏览器,代理到burp第五步 查看passive-scan记录摘抄xray与burp的联动burp原创 2021-03-29 18:12:41 · 2693 阅读 · 0 评论 -
x-ray之第四篇-常用的高级配置
常用高级配置-修改配置文件允许扫描的域Mitm→> Restriction为代理添加认证Mitm→>auth扫描插件配置Pluginstrue 表示进行扫描false表示不进行扫描指定模块.\xray_windows_amd64.exe webscan --listen 127.0.0.1:1234 --plugins xss,xxe #只扫描xxs和xxe两个模块xss、sqldet、cmd-injection、dirscan、path-trav原创 2021-03-29 18:04:26 · 2147 阅读 · 0 评论 -
x-ray之第三篇-代理模式进行登陆后的网站扫描
使用xray代理模式进行漏洞扫描代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。第一步 生成CA-证书在浏览器使用 https 协议通信的情况下,必须要得到客户端的信任,才能建立与客户端的通信。这里的突破口就是 ca 证书。只要自定义的 ca 证书得到了客户端的信任,xray 就能用该 ca 证书签发各种伪造的服务器证书,从而获取到通信内容。运行命令之后原创 2021-03-29 17:56:24 · 3375 阅读 · 1 评论 -
x-ray之第二篇-基础爬虫模式进行扫描
基础爬虫模式进行扫描爬虫模式是模拟人工去点击网页的链接,然后去分析扫描,和代理模式不同的是,爬虫不需要人工的介入,访问速度要快很多,但是也有一些缺点需要注意启动爬虫./xray_windows_amd64 webscan --basic-crawler http://testphp.vulnweb.com/./xray_windows_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-cra原创 2021-03-29 17:48:07 · 1769 阅读 · 0 评论 -
x-ray之第一篇-基本介绍
基本使用xray简介xray是一款功能强大的安全评估工具,支持常见web漏洞的自动化检测,可以在 Github兔费下载使用(不开源)。可能是迄今为止最好的被动扫描器使用手册https://docs.xray.cool/#/tutorial/prepare主要特性有:检测速度快。发包速度快; 漏洞检测算法高效。支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、原创 2021-03-29 17:44:19 · 2819 阅读 · 0 评论