xray与burp联动扫描

上一篇博客主要描述利用xray挂代理进行被动扫描,但扫描器只能扫描出owasp top 10的漏洞,业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试 双管齐下,我们将xray与burp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,这样便可坐收漏洞了。

xray与burp联动

配置xray代理

.\xray.exe webscan --listen 127.0.0.1:7777 --html-output output.html
在这里插入图片描述

burpsuite 配置xray代理

打开burp
在这里插入图片描述
在这里插入图片描述
配置成功:
在这里插入图片描述

浏览器配置burp代理

此处本人使用火狐浏览器:
在这里插入图片描述

安装xray证书

代理配好后,访问要测的网站,显示需安装xray证书,点击下载 Download CA
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

至此burp既可以抓到包,xray也可进行被动扫描:
在这里插入图片描述

xray抓取https数据包

前提:使用burp能抓取到https包,我的另一篇博客中有介绍。
使用xray无法直接抓到https包
在这里插入图片描述
需安装证书。

xray生成证书

.\xray.exe geca
在这里插入图片描述
生成证书
在这里插入图片描述
浏览器导入crt证书
在这里插入图片描述

可成功抓取https流量
在这里插入图片描述

在这里插入图片描述

遇坑记录

最近在谷歌浏览器配置burp代理联动xray 总是没有返回包,xray扫不动,现在没研究出原因,但换了ie浏览器,设置burp代理,联动xray可以实施被动扫描。

  • 7
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
xrayburp可以通过配置代理来实现联动。首先,将burp配置为xray的上游代理。这可以通过在burp中设置代理为127.0.0.1:1234来实现。然后,将浏览器的代理配置为burp的地址。这样,浏览器的流量就会经过burp并被转发给xray进行扫描。你可以使用burp插件"Burp被动扫描流量转发插件"来查看转发的流量和漏洞记录。需要注意的是,xray挂代理被动扫描只能扫出OWASP Top 10的漏洞,对于业务逻辑类漏洞需要进行手工抓包测试。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [x-ray之第五篇-常xrayburpsuit的联动](https://blog.csdn.net/qq_41901122/article/details/115307604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Xray+burp联动使用(被动扫描)](https://blog.csdn.net/single_g_l/article/details/124423431)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [XrayBurp联动](https://blog.csdn.net/m0_51345235/article/details/131174816)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值