xray与burp联动扫描

已于 2022-05-18 15:07:57 修改
阅读量2.4w 收藏 31
点赞数 7
分类专栏: web安全 文章标签: 安全 web安全 https
于 2020-05-12 22:23:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011975363/article/details/106086338
版权

上一篇博客主要描述利用xray挂代理进行被动扫描,但扫描器只能扫描出owasp top 10的漏洞,业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试 双管齐下,我们将xray与burp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,这样便可坐收漏洞了。

xray与burp联动

配置xray代理

.\xray.exe webscan --listen 127.0.0.1:7777 --html-output output.html
在这里插入图片描述

burpsuite 配置xray代理

打开burp
在这里插入图片描述
在这里插入图片描述
配置成功:
在这里插入图片描述

浏览器配置burp代理

此处本人使用火狐浏览器:
在这里插入图片描述

安装xray证书

代理配好后,访问要测的网站,显示需安装xray证书,点击下载 Download CA
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

至此burp既可以抓到包,xray也可进行被动扫描:
在这里插入图片描述

xray抓取https数据包

前提:使用burp能抓取到https包,我的另一篇博客中有介绍。
使用xray无法直接抓到https包
在这里插入图片描述
需安装证书。

xray生成证书

.\xray.exe geca
在这里插入图片描述
生成证书
在这里插入图片描述
浏览器导入crt证书
在这里插入图片描述

可成功抓取https流量
在这里插入图片描述

在这里插入图片描述

遇坑记录

最近在谷歌浏览器配置burp代理联动xray 总是没有返回包,xray扫不动,现在没研究出原因,但换了ie浏览器,设置burp代理,联动xray可以实施被动扫描。

小心灵呀
关注
  • 7
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Xray+具体案例+burp联动(很详细)
huangjun的博客
10-20 2241
一款非常强大的开源工具,可大大提高安全效率,值得学习。
Xray+burp联动使用(被动扫描)
single_g_l的博客
04-28 1万+
一、Xray工具 1、Xray概念 Xray是一款功能强大的安全评估工具,主要特性有:检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广、代码质量高高级可定制、安全无威胁都是它的特点。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持;编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性;xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 2、下载..
安全测试 —— 如何使用burpsuite+xray实现联动测试?
最新发布
MAYUHAO1011的博客
04-12 500
目的:安全测试过程中手动分析测试与xray自动化扫描测试结合,这样可以从多层保障安全测试的分析,针对平台业务接口量大的安全测试是十分有用的,可以实现双向测试同时开始。
Burp+Xray联动(被动扫描)
m0_65663088的博客
01-26 1067
xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试同时进行,可以将xrayburp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,就可以接收到漏洞了。进入xray目录下,双击ca.crt-->安装证书-->证书存储:受信任的根证书颁发机构-->证书导入成功。我们就可以用浏览器访问页面,xray就会自动的扫描漏洞了。方法2:在浏览器中设置代理。
xray使用初试-扫描登录后的APP
u011975363的专栏
05-06 4370
平时用的扫描器一般是AWVS,appscan等,属于主动扫描,但对于登录后的各种功能都不方便扫描,今天经同事指导,认识了xray扫描器,利用该扫描器配置代理对登录后的app进行了扫描,效果还不错,因此记录下来与大家分享。
XrayBurp联动
xiaoheizi的博客
06-12 6206
业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试同时进行,可以将xrayburp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,就可以接收到漏洞了。xray根目录打开cmd命令行输入:.\xray.exe webscan –listen 127.0.0.1:8989 –html-output “自己的桌面路径\xray.html”命令意思:配置代理进行被动扫描,即本地8989端口进行流量监听,并把流量监听挖掘到的漏洞详情保存到桌面的xray.html文件内。
xrayburp联动
xhscxj的博客
10-25 3326
xray下载安装先通过PowerShell打开xray所在的目录,运行,生成yaml文件genca在目录下生成证书生产证书后将证书导入浏览器导入后在本地安装一下。
XRay安装使用以及Burp联动
热门推荐
柠鹿的轨迹
11-09 2万+
0x00 前言 XRay是长亭科技洞鉴核心引擎中提取出的社区版漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描、被动代理扫描、社区POC集成…… XRay 的定位是一款安全辅助评估工具,而不是攻击工具,其内置的所有 payload 和 poc 均为无害化检查。毫不犹豫的说,XRay属于渗透测试人员安全渗透的一大神兵利器! 可以想象,当BurpXRay联动时,必将碰撞出不一样的火花! 0x01 下载XRay ...
BurpSuite2023.6挂xray出现No response received from remote server.
cjstang的博客
08-07 1230
No response received from remote server
awvs13_batch_py3:针对AWVS扫描器开发的批量扫描脚本,支持联动xrayburp,w13scan等被动批量
03-20
支持结合被动扫描器进行配置扫描,如: xray , w13scan , burp等扫描器 支持一键删除所有任务 通过配置awvs_config.ini文件,支持自定义各种扫描参数,例如:爬虫速度,排除路径(不扫描的目录),各种cookie ,...
xray run with burpsuite
12-08
XrayBurpSuite协同工作详解:自动化脚本实践》 在网络安全评估领域,XrayBurpSuite是两款备受推崇的工具。Xray以其深度的安全检测能力和丰富的漏洞扫描功能,深受专业安全人员的喜爱;而BurpSuite则以其强大...
xray批量扫描Python脚本
05-26
使用python语言编写的,xray附件工具,可以实现针对大量url进行批量扫描。 1、将脚本放到xray_darwin_amd64目录(如果是其他版本的xray,需要修改脚本25行); 2、在当前目录下添加一个url.txt,将需要扫描的url粘贴...
awvs、xrayburp安装使用手册集合.doc
04-27
本人学习中亲自整理awvs、xrayburp安装使用手册
xray_run_with_burp.zip
08-19
通过XrayBurp的联动,用户不仅可以利用Xray的强大扫描功能,还能结合Burp的交互式特性,进行更深入的漏洞验证和测试。例如,用户可以在Burp中对可疑请求进行篡改,以验证漏洞的实际影响。 6. **后期处理** 扫描...
burpXray联动
yzl_007的博客
07-21 5295
burpXray联动 前面使用过Xray联动Rad被动扫描,这里介绍一下Xrayburp的联动 xray也常用来与burp联动进行被动式扫描,在进行内网web渗透的时候,能大大提高渗透效率。 1、配置burp 在常规的抓包基础上,burp在配置一个下游的代理。将流量转发给xray进行扫描。在bupp能抓到网站数据包的基础上进行如下配置。这里bp将流量抓发到本机的7777端口 2、开启Xray cd到xray.exe的目录下,启动xary并监听对应地址,输出为html文件 xray_windows_am
xrayburp联动
LAngle9的博客
04-12 1369
拿到一个网站,配置hosts,ip和域名,拿到测试账号和密码。 登录,使用burpxray. 配置burp顶级代理服务器
xray证书安装使用及Burp联动
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-06 836
xray证书安装使用以及Burp联动,XRay是长亭科技洞鉴核心引擎中提取出的社区版漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描、被动代理扫描、社区POC集成……XRay的定位是一款安全辅助评估工具,而不是攻击工具,其内置的所有payload和poc均为无害化检查。毫不犹豫的说,XRay属于渗透测试人员安全渗透的一大神兵利器. xray证书安装下载XRay XRay为单文件二进制文件,无依赖,也无需安装,下载后直接使用。笔者建议使用XRay社区下
burpxray联动
weixin_44110913的博客
09-18 2167
基础过程 1. 打开中转,xray监听的代理,用本地即可 2.设置代理 代理一般就物理机ip即可 3.先不开代理,进页面以后再开 4.用xray监听刚刚设置的中转代理 5. 进入app页面 6.开启代理 7.开启代理,并且burp off状态,到处功能到处点 8.可以看到已经开始边点边扫描 过程分析 平时app抓包就是设置一下代理ip即可 当增加了xray以后就需要增加一个中转 平时 模拟器(向代理192.168.16.111:8080发送数据) ——》burp192.168.16.111:8
XRAYBurp、AppScan、AWVS联动
LuckySec
06-03 6323
PS:欢迎访问我的个人博客 http://luckyzmj.cn 0x01 XRAY 扫描器 xray 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。 GitHub地址:https://github.com/chaitin/xray 官方文档:https://xray.cool/xray/#/tu
xrayburp联动代理配置
07-28
xrayburp可以通过配置代理来实现联动。首先,将burp配置为xray的上游代理。这可以通过在burp中设置代理为127.0.0.1:1234来实现。然后,将浏览器的代理配置为burp的地址。这样,浏览器的流量就会经过burp并被转发给xray进行扫描。你可以使用burp插件"Burp被动扫描流量转发插件"来查看转发的流量和漏洞记录。需要注意的是,xray挂代理被动扫描只能扫出OWASP Top 10的漏洞,对于业务逻辑类漏洞需要进行手工抓包测试。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [x-ray之第五篇-常xrayburpsuit的联动](https://blog.csdn.net/qq_41901122/article/details/115307604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Xray+burp联动使用(被动扫描)](https://blog.csdn.net/single_g_l/article/details/124423431)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [XrayBurp联动](https://blog.csdn.net/m0_51345235/article/details/131174816)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值