本日要使用的工具下载安装
介绍 - xray Documentation
https://docs.xray.cool/Introduction#/Goby— 资产绘测及实战化漏洞扫描工具 (gobies.org)https://gobies.org/#dl选择合适的版本下载
xray实现对皮卡丘靶场的主动和被动扫描(需要输出扫描报告)
主动扫描
在xray的目录下打开cmd输入 xray_windows_amd64.exe webscan --basic-crawler http://127.0.0.1 --html-output xray-crawler-testphp.html 的命令进行扫描
事后可以在xray文件夹里看到网页扫描报告
被动扫描
首先生成证书:\xray_windows_amd64.exe genca
输入命令进行被动扫描:.\xray_windows_amd64.exe webscan --listen 127.0.0.1:8989 --html-output test.html
goby实现对皮卡丘靶场的扫描
注册登录账号后,输入扫描的网址与选择端口
等待扫描完成查看报告
实现xray和burpsuite联动扫描
首先在bs设置
然后打开bs的浏览器下载安全证书
再在火狐配置网络代理
最后就可以使用xray开启监听:.\xray_windows_amd64.exe webscan --listen 127.0.0.1:8989 --html-output 1.html
说明两者联动扫描流量代理后流量走向,即上层代理服务器的工作原理
客户端请求: 用户通过浏览器或其他HTTP客户端发起对目标Web应用程序的请求。
浏览器代理设置: 在浏览器中配置HTTP代理,将代理服务器地址设置为Burp Suite监听的地址和端口(如127.0.0.1:8989)。
请求到达Burp Suite: 浏览器发出的请求首先被发送到Burp Suite,Burp Suite作为上层代理服务器接收并处理这些请求。
Burp Suite拦截请求: Burp Suite拦截这些请求,并可以对其进行分析、修改或重放。这为安全测试提供了灵活性,允许测试人员查看每个请求和响应的内容。
Burp Suite转发请求: Burp Suite在接收到请求后,根据配置将请求转发给Xray。这通常通过在Burp Suite中设置上游代理服务器(Upstream Proxy Servers)来实现,上游代理服务器的地址设置为Xray监听的地址和端口(如127.0.0.1:8989)。
Xray扫描和处理: Xray接收到来自Burp Suite的请求后,对请求进行扫描,检查潜在的Web安全漏洞。Xray会分析请求的内容、参数等,并根据内置的规则和插件进行漏洞检测。
Xray返回响应: Xray完成扫描后,将处理后的请求(可能已修改或添加了额外的测试数据)发送给目标Web应用程序,并接收来自服务器的响应。
Burp Suite接收响应: Xray将服务器的响应返回给Burp Suite,Burp Suite可以再次拦截这些响应,以便进行分析和记录。
Burp Suite转发响应: Burp Suite再将响应转发给原始的HTTP客户端(浏览器)。
浏览器显示响应: 浏览器接收到来自Burp Suite的响应后,显示给用户。
扫一扫
1136
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
