原理:利用burpsuite抓取想要测试的页面,burpsuite与xray之间建立代理,想要测试的页面就将包forward,不想测试的包drop,xray接受到burpsuite的包就可以开始web漏洞的自动化测试。
xray的使用:
下载安装:https://github.com/chaitin/xray/releases
代理模式:
1.生成ca证书
xray_windows_386.exe genca
exe文件名称根据文件夹内修改
2.向浏览器内导入证书
设置--查找
3.设置浏览器的代理,浏览器的代理需要与xray设置的代理一致
4.xray开启代理
xray_windows_386.exe webscan --listen 127.0.0.1:7777 --html-output test.html
webscan web页面的漏洞检测
--listen 监听
--html-output 输出html格式
访问DVWA的SQL注入模块
xray开始自动化检测web漏洞
xray与burpsuite联合使用
burpsuite配置xray代理
记得勾选
配置浏览器代理
浏览器代理与抓包时的代理一致
开始测试,点击forward,xray就会开始测试
等待xray扫描完成后就可以继续下一个页面的测试