想挖点src又没啥思路,试着挂个自动漏扫工具xray,又看到能与burp联动实现自动扫就想尝试一下,搞好进自己网站测试了一下,的确是爬虫式漏扫,访问量属实大,不过自己设置设置还是一个很不错的工具。
安装配置
是在ddosi.org这里找的破解版,也有官网社区版本,功能也足足够用。首先下载解压以后执行命令生成证书
.\xray_windows_amd64.exe genca
把证书导入浏览器(我这里在火狐搞得,都差不多的其实。这里的config.yaml是配置文件,第一次运行之后也会生成一个)
这里配置一下浏览器代理和burp代理链的设置
(代理链了解一下)
代理配置完成后可以改一下配置文件(全是备注,很简单了属于),下面还有各种设置,可以自己看一看(不要去扫奇怪的网站,访问量很大基本一下就发现了,所以也要用上梯子)
全部配置完成后来测试一下
在对应目录下执行
xray_windows_amd64_protected.exe webscan --listen 127.0.0.1:8989 --html-output result1.html
执行结果会自动保存在我们设置的文件里
参考Xray捡洞中的高频漏洞
参考Xray和burpsuite联动实现被动漏扫
参考常见问题 - xray 安全评估工具文档