Web漏洞扫描器-Xray使用方法

Web漏洞扫描器-Xray使用方法

Web漏洞扫描器-Xray使用方法

• X-ray的安装与简介
• • Xray简介
  • Xray安装
• Xray使用
• • 使用代理模式的扫描
  • 使用爬虫模式的扫描
• Xray+Burp的联动使用
• • Burp作为Xray的上级代理
  • Xray作为Burp的上游代理
    X-ray的安装与简介

Xray简介

Xray扫描器是一款功能强大的安全评估工具。支持主动、被动多种扫描方式，支持常见web漏洞的自动化检测，可以灵活定义POC，功能丰富，调用简单，支持多种操作系统
优势：
1、检测速度快：由go语言编写，检测算法优秀
2、支持范围广：支持OWASP Top 10 通用漏洞检测
3、高级可定制：通过修改配置文件可以极大的定制化功能
4、安全无威胁：是安全辅助评估工具，内置的所有 payload 和 poc 均为无害化检查
5、更新速度快：作为一款漏扫工具，更新的速度很快

Xray安装

项目地址：https://github.com/chaitin/xray/
下载地址：https://github.com/chaitin/xray/releases
使用文档：https://docs.xray.cool/#/tutorial/introduce
下载完成之后，Windows的直接在xray所在的文件夹运行cmd就行了，linux的将下载好的文件粘贴到linux虚拟机中，然后在终端运行./文件名就行了
Xray使用

这边主要推荐查看使用文档https://docs.xray.cool/#/tutorial/introduce

使用代理模式的扫描

1、下载浏览器代理插件
2、使用命令./xray.exe genca生成一个证书
3、在火狐或者谷歌浏览器里面导入这个证书，要添加信任，导入完成之后，添加代理，端口只要是空闲的都可以
4、在xray开启监听，输入命令xray.exe webscan --listen 127.0.0.1:6666，这个端口就是你之前代理的那个端口，如果想要输出结果的话，在后面加上--html -output 1.html
5、在浏览器启用代理就行了
开启代理之后只要你点击一个网站，他就会去扫描，并生成一个html文件

使用爬虫模式的扫描

直接输入xray.exe webscan --basic-crawler 127.0.0.1 --html-output 2.html
--url扫描单个url地址
Xray+Burp的联动使用

Burp作为Xray的上级代理

浏览器 -> Xray -> burpsuite -> 服务器端
浏览器开启xray的代理

然后在xray的配置文件中将代理设置为burp的代理

然后开启burp，等待包的到来
使用方法就是xray开启监听。然后访问网站就行了

Xray作为Burp的上游代理

浏览器 -> burpsuite -> Xray -> 服务器端
浏览器开启burp的代理

然后如图所示，依次点击useroptions、add然后添加代理。这个端口就是xray监听的端口

xray就不需要设置代理了
然后就是访问网站，burp抓包，放包，xray测试，生成报告

《网络安全从零到精通全套学习大礼包》

96节从入门到精通的全套视频教程免费领取

如果你也想通过学网络安全技术去帮助就业和转行，我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。

网络安全学习路线图

想要学习 网络安全，作为新手一定要先按照路线图学习，方向不对，努力白费。对于从来没有接触过网络安全的同学，我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线，大家跟着这个路线图学习准没错。

配套实战项目/源码

所有视频教程所涉及的实战项目和项目源码

学习电子书籍

学习网络安全必看的书籍和文章的PDF，市面上网络安全书籍确实太多了，这些是我精选出来的

面试真题/经验

以上资料如何领取？

料如何领取？

文章来自网上，侵权请联系博主