xray与burp联动扫描

已于 2022-05-18 15:07:57 修改
阅读量2.5w 收藏 32
点赞数 7
分类专栏: web安全 文章标签: 安全 web安全 https
于 2020-05-12 22:23:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011975363/article/details/106086338
版权

上一篇博客主要描述利用xray挂代理进行被动扫描,但扫描器只能扫描出owasp top 10的漏洞,业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试 双管齐下,我们将xray与burp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,这样便可坐收漏洞了。

xray与burp联动

配置xray代理

.\xray.exe webscan --listen 127.0.0.1:7777 --html-output output.html
在这里插入图片描述

burpsuite 配置xray代理

打开burp
在这里插入图片描述
在这里插入图片描述
配置成功:
在这里插入图片描述

浏览器配置burp代理

此处本人使用火狐浏览器:
在这里插入图片描述

安装xray证书

代理配好后,访问要测的网站,显示需安装xray证书,点击下载 Download CA
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

至此burp既可以抓到包,xray也可进行被动扫描:
在这里插入图片描述

xray抓取https数据包

前提:使用burp能抓取到https包,我的另一篇博客中有介绍。
使用xray无法直接抓到https包
在这里插入图片描述
需安装证书。

xray生成证书

.\xray.exe geca
在这里插入图片描述
生成证书
在这里插入图片描述
浏览器导入crt证书
在这里插入图片描述

可成功抓取https流量
在这里插入图片描述

在这里插入图片描述

遇坑记录

最近在谷歌浏览器配置burp代理联动xray 总是没有返回包,xray扫不动,现在没研究出原因,但换了ie浏览器,设置burp代理,联动xray可以实施被动扫描。

小心灵呀
关注
  • 7
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
xrayburp联动 挖掘
m0_65247093的博客
05-10 2687
目录 0x0Axray基本介绍与使用 0x0a xray官网 0x0b安装配置 0x0cxray(社区版)的基本使用 0x01主动扫描(切记授权) 0x02 被动扫描 0x0d xray红队版 0x01子域名搜集 0x02 专项扫描 等等... 0x0B burpxray的联动 0X01抓取https流量 0x02 burpxray的上游: 0x03 burpxray的下游:(安装jar插件) 总结 ;如上不管是burp作为xray的前后端 效果都不是太好(推荐有...
awvs13_batch_py3:针对AWVS扫描器开发的批量扫描脚本,支持联动xrayburp,w13scan等被动批量
03-20
支持结合被动扫描器进行配置扫描,如: xray , w13scan , burp等扫描器 支持一键删除所有任务 通过配置awvs_config.ini文件,支持自定义各种扫描参数,例如:爬虫速度,排除路径(不扫描的目录),各种cookie ,...
Xray+具体案例+burp联动(很详细)
huangjun的博客
10-20 2622
一款非常强大的开源工具,可大大提高安全效率,值得学习。
AWVS+BP+XRAY三层联动扫描漏洞
最新发布
LfanBQX的博客
06-05 449
本报告详细记录了使用AWVS(Acunetix Web Vulnerability Scanner)、Burp Suite和Xray进行的漏洞扫描结果。旨在帮助开发团队识别和修复系统中的安全漏洞,提升整体安全性。AWVS(Acunetix Web Vulnerability Scanner):专业的Web应用漏洞扫描工具,能够识别包括SQL注入、XSS在内的多种Web漏洞。Burp Suite:广泛使用的Web应用安全测试工具,集成了拦截代理、扫描器、渗透测试工具等功能。
Xrayburpsuite联动被动扫描
遇事不决冲冲冲
12-26 1万+
Xray捡洞中的高频漏洞 Xrayburpsuite联动实现被动漏扫 xray 1.8.2pro破解版 常见问题 - xray 安全评估工具文档
xrayburp联动
xhscxj的博客
10-25 3346
xray下载安装先通过PowerShell打开xray所在的目录,运行,生成yaml文件genca在目录下生成证书生产证书后将证书导入浏览器导入后在本地安装一下。
Xray+burp联动使用(被动扫描)
single_g_l的博客
04-28 1万+
一、Xray工具 1、Xray概念 Xray是一款功能强大的安全评估工具,主要特性有:检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广、代码质量高高级可定制、安全无威胁都是它的特点。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持;编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性;xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 2、下载..
xray联动burp实现被动扫描
久恙502的博客
10-09 160
xray联合burp实现被动扫描
burp联动xray进行被动扫描
希望我的博客,能帮上你解决学习中工作中所遇到的问题
03-02 929
本文详细介绍了xrayburp进行联动的方法,被动扫描和手工测试双管齐下快速出洞,在burp上配置xray代理,将burp流量转发给xray扫描,这样便可坐收漏洞了 4、不是在piliang目录下,而是在xray.exe的目录这
awvs和xrayburp联动
mingyqf的博客
04-29 1638
文章目录 参考链接:https://blog.csdn.net/weixin_45951067/article/details/123465353 复现环境:本地phpstudy,awvs,burp 1.在burpsuite依次选择User options—>Upstream Proxy Servers—>Add然后选择OK. *号表示所有主机 proxy host和proxy port为本机地址和本机端口 测试地址:http://127.0.0.1/pikachu/vul/sqli/sql
XrayBurp联动
xiaoheizi的博客
06-12 6644
业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试同时进行,可以将xrayburp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,就可以接收到漏洞了。xray根目录打开cmd命令行输入:.\xray.exe webscan –listen 127.0.0.1:8989 –html-output “自己的桌面路径\xray.html”命令意思:配置代理进行被动扫描,即本地8989端口进行流量监听,并把流量监听挖掘到的漏洞详情保存到桌面的xray.html文件内。
awvs、xrayburp安装使用手册集合.doc
04-27
1. **AWVS与Xray联动**:在AWVS中设置Xray作为代理,利用Xray的爬虫能力增强AWVS的扫描范围。 2. **Postman与Xray**:在Postman中设置Xray代理,进行接口测试时,Xray可以捕获和分析请求,帮助识别安全问题。 这些...
xray run with burpsuite
12-08
XrayBurpSuite协同工作详解:自动化脚本实践》 在网络安全评估领域,XrayBurpSuite是两款备受推崇的工具。Xray以其深度的安全检测能力和丰富的漏洞扫描功能,深受专业安全人员的喜爱;而BurpSuite则以其强大...
xray批量扫描Python脚本
05-26
使用python语言编写的,xray附件工具,可以实现针对大量url进行批量扫描。 1、将脚本放到xray_darwin_amd64目录(如果是其他版本的xray,需要修改脚本25行); 2、在当前目录下添加一个url.txt,将需要扫描的url粘贴...
xray_run_with_burp.zip
08-19
通过XrayBurp的联动,用户不仅可以利用Xray的强大扫描功能,还能结合Burp的交互式特性,进行更深入的漏洞验证和测试。例如,用户可以在Burp中对可疑请求进行篡改,以验证漏洞的实际影响。 6. **后期处理** 扫描...
vmware 14 安装window 7时,出现Network boot from Intel E1000
热门推荐
u011975363的专栏
08-21 6万+
准备在vmware 14上安装window 7系统,在网上系统之家下载了个iso的镜像,按照网上的步骤: 先创建windows 虚拟机 在启动时,选择下载的iso镜像文件 网络设置选择NAT模式 点击启动时,却出现:operating system not found 当时还以为虚拟机设置出问题了,根据网上的教程,启动时进入bois系统进行设置: 在boot中将启动设...
shiro反序列化漏洞复现
u011975363的专栏
10-08 1万+
搭建环境请参考:https://www.jianshu.com/p/0007eafd1f92 复现请参考:https://mp.weixin.qq.com/s/KkWL9SftCZSdkglW39Qw0Q 靶机:192.168.19.147 攻击机:192.168.19.146 • 搭建环境 获取docker镜像 Docker pull medicean/vulapps:s_shiro_1 重启d...
在centos中安装KVM,并导入.qcow2镜像
u011975363的专栏
09-05 1万+
在centos中安装KVM,并导入.qcow2镜像 2、导入镜像,安装系统 (1)镜像下载地址:http://isoredirect.centos.org/centos/7/isos/x86_64/CentOS-7-x86_64-DVD-1810...
xrayburp联动代理配置
07-28
xrayburp可以通过配置代理来实现联动。首先,将burp配置为xray的上游代理。这可以通过在burp中设置代理为127.0.0.1:1234来实现。然后,将浏览器的代理配置为burp的地址。这样,浏览器的流量就会经过burp并被转发给xray进行扫描。你可以使用burp插件"Burp被动扫描流量转发插件"来查看转发的流量和漏洞记录。需要注意的是,xray挂代理被动扫描只能扫出OWASP Top 10的漏洞,对于业务逻辑类漏洞需要进行手工抓包测试。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [x-ray之第五篇-常xrayburpsuit的联动](https://blog.csdn.net/qq_41901122/article/details/115307604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Xray+burp联动使用(被动扫描)](https://blog.csdn.net/single_g_l/article/details/124423431)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [XrayBurp联动](https://blog.csdn.net/m0_51345235/article/details/131174816)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值