8.28任务
1.安装xray ,实现对皮卡丘靶场的主动和被动扫描(需要输出扫描报告)
2.安装goby,实现对皮卡丘靶场的扫描,无法安装的同学可以安装windows虚拟机,在虚拟机中进行操作
3.加分项:实现xray和burpsuite联动扫描
4.加分项:说明两者联动扫描流量代理后流量走向,即上层代理服务器的工作原理
一、Xray
1、Xray
Xray是一款功能十分强大的安全评估工具,支持主动和被动等多种扫描方式,也支持常见web漏洞的自动化测试,可以灵活定义POC,功能丰富,调用简单,支持多种操作系统。
主动扫描能够快速发现目标站点的漏洞,但可能会对目标站点造成影响;被动扫描则不会对目标站点产生影响,但扫描速度较慢。
特点:
- 检测速度快
- 支持范围广
- 高级可定制
- 安全无威胁
- 更新速度快
2、安装
-
下载地址:https://download.xray.cool/xray
-
在对应位置打开cmd,输入命令,查看是否有反应
xray_windows_amd64.exe -h
3、主动扫描
- cmd命令如下:
.\xray_windows_amd64.exe webscan --basic-crawler 目标站点 --html-output zdscanning.html
- 对搭建的皮卡丘靶场实现主动扫描
- .html是扫描报告
- 查看报告
4、被动扫描
- 首先要对xray配置端口,为了不和其他起冲突
- cmd命令如下:
.\xray_windows_amd64.exe webscan --listen 目标站点 --html-output bdscanning.html
- 对搭建的皮卡丘靶场实现被动扫描
- .html是扫描报告
- 查看报告
二、goby
1、goby
Goby是一款基于网络空间测绘技术的新一代网络安全工具,它通过给目标网络建立完整的资产知识库,进行网络安全事件应急与漏洞应急。
2、安装
下载安装包并且解压,然后运行Goby.exe
3、使用goby
- 打开goby
- 点击扫描,新建扫描任务
- 点击开始,就开始了扫描
- 扫描完毕后,可以查看资产
- 查看报告,点击右上角可以下载报告
三、实现xray和burpsuite联动扫描
步骤:
- 运行xray生成证书并安装证书。
- 使用Burp的原生功能与xray建立多层代理,将流量从Burp转发到xray中。
- 运行xray进行扫描。
- 查看扫描结果报告。
四、上层代理服务器的工作原理
- 代理服务器的工作原理涉及两个主要过程:代理请求和响应处理。当客户端发送请求时,请求首先被发送至代理服务器。
- 代理服务器收到请求后,会自行访问目标服务器,并将请求转发至目标服务器。
- 目标服务器处理请求并返回响应。这时,响应由目标服务器直接发送给代理服务器。代理服务器接收到响应后,再将响应转发至客户端。
- 在这个过程中,代理服务器实际上扮演了一个中间人的角色,实现了客户端与目标服务器之间的无缝通信。
扫一扫
854
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
