Xray+burp联动使用(被动扫描)

最新推荐文章于 2025-10-28 08:46:34 发布
原创 最新推荐文章于 2025-10-28 08:46:34 发布 · 1.4w 阅读 · 38 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

Xray是一款高效的安全评估工具,擅长快速漏洞检测和广泛支持各类框架。它适用于OWASP Top 10通用漏洞检测,且具备高级可定制性。在Windows和Kali Linux环境下,可以通过配置代理与Burp Suite联动进行扫描。安装过程包括下载、生成证书、配置扫描参数等步骤。在Burp Suite中配置Xray代理,可以实现被动扫描与手工测试的同步。
该文章已生成可运行项目,

1、Xray概念

 Xray是一款功能强大的安全评估工具,主要特性有:检测速度快。发包速度快; 漏洞检测算法高效。

支持范围广、代码质量高高级可定制、安全无威胁都是它的特点。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持;编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性;xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。

Xray挂代理被动扫描,只能扫出owasp top 10的漏洞。业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试同时进行,可以将xray与burp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,就可以接收到漏洞了。

2、下载地址:

Releases · chaitin/xray · GitHub

本文章已经生成可运行项目
最低0.47元/天 解锁文章
【每天学会一个渗透测试工具】Xray安装及使用指南
菜鸟小羊的博客
06-18 4224
代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。基于代理模式进行的扫描扫描器作为中间人,原样转发流量并返回响应给客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。基于爬虫模式进行的扫描,模拟人工去点击网页链接,快速爬取网站目录,看有哪些目录对互联网开放,再用漏洞扫描看看是否有漏洞。设置——>隐私与安全——>证书——>查看证书。
XrayBurp联动
xiaoheizi的博客
06-12 8573
业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试同时进行,可以将xrayburp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,就可以接收到漏洞了。xray根目录打开cmd命令行输入:.\xray.exe webscan –listen 127.0.0.1:8989 –html-output “自己的桌面路径\xray.html”命令意思:配置代理进行被动扫描,即本地8989端口进行流量监听,并把流量监听挖掘到的漏洞详情保存到桌面的xray.html文件内。
您了解Burp Suite的主动扫描Active Scanning和被动扫描Passive Scanning的区别是什么吗?
最新发布
liwenxiang629的博客
10-28 984
BurpSuite的主动扫描被动扫描是两种核心漏洞检测方式。被动扫描仅分析流量,检测表面漏洞(如信息泄露),零风险且实时;主动扫描则发送恶意请求检测深度漏洞(如SQL注入),存在风险但更全面。最佳实践为先被动扫描快速评估,再对高风险区域进行主动扫描。两者互补,结合使用可提高检测效率,但需注意主动扫描的法律合规性和性能影响。
XRAY 使用方法归纳
weixin_68177269的博客
11-29 2836
打开webscan功能扫描web漏洞,同时监听本机7891端口目的是与burp结合。在浏览器管理证书选项-受信任的根证书颁发机构中导入该证书。(命令中的网址可以是ip地址,也可以是域名地址)第一次实现扫描功能需要将生成的证书导入到浏览器。使用基础爬虫爬取,并对爬取连接进行漏洞扫描。运行该命令之后,会在目录下生成一个证书。之后就会在该目录生成漏洞信息的文件。打开xray所在目录,打开终端。二、被动扫描(与burp结合)1.打开端口监听,导入证书。同样在终端中输入命令。
BurpXray联动-被动扫描
玖的博客
12-08 2625
BurpXray联动实现自动化扫描及APP,小程序测试xray 是一款功能强大的安全评估工具,其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。
Xray+具体案例+burp联动(很详细)
huangjun的博客
10-20 8101
一款非常强大的开源工具,可大大提高安全效率,值得学习。
网站漏洞扫描软件Burp suite和Xray安装应用及联合使用
XLbb的博客
07-23 3378
Burp suite是web应用程序测试的最佳工具之一,其多种功能可以帮助我们执行各种任务;包括数据包请求拦截与修改、扫描web应用程序漏洞,以及暴力破解登录菜单,执行会话令牌等多种的随机性检查。 xray社区是长亭科技推出的免费白帽子工具平台,目前社区有xray、xpoc和radium工具,均有多名经验丰富的安全开发人员;以及数以万名社区贡献者共同打造而成;相比于其他国外扫描器,xray支持反向扫描,可以进行配合手工检测。
Xrayburpsuite联动被动扫描
热门推荐
遇事不决冲冲冲
12-26 1万+
Xray捡洞中的高频漏洞 Xrayburpsuite联动实现被动漏扫 xray 1.8.2pro破解版 常见问题 - xray 安全评估工具文档
Burp+Xray联动(被动扫描)
m0_65663088的博客
01-26 1946
xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试同时进行,可以将xrayburp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,就可以接收到漏洞了。进入xray目录下,双击ca.crt-->安装证书-->证书存储:受信任的根证书颁发机构-->证书导入成功。我们就可以用浏览器访问页面,xray就会自动的扫描漏洞了。方法2:在浏览器中设置代理。
xray被动扫描+burpsuite
cj_Hydra's Blog
10-26 1983
前言: 通常我们在进行web扫描漏洞时候,都是使用各种扫描器输入网址乱扫一通。这种方式虽然大众化,但存在许许多多的缺点。 比如:直接扫描导致访问网站变慢、IP存在被防火墙BAN的可能。 那么今天带来的新姿势就是xray被动扫描,在我们进行手动浏览器网页时,使用burp抓包,并且对浏览过的网页进行漏洞扫描。 流程如下:浏览器访问目标网址——》burp抓包——》xray检测burp所抓取的数据包。 第一步:打开burp,设置代理。 第二步:浏览器设置代理与burp进行联通。 此时通过浏览器访问网址后的数
burp联动xray进行被动扫描
希望我的博客,能帮上你解决学习中工作中所遇到的问题
03-02 1236
本文详细介绍了xrayburp进行联动的方法,被动扫描和手工测试双管齐下快速出洞,在burp上配置xray代理,将burp流量转发给xray扫描,这样便可坐收漏洞了 4、不是在piliang目录下,而是在xray.exe的目录这
xrayburp联动
xhscxj的博客
10-25 3633
xray下载安装先通过PowerShell打开xray所在的目录,运行,生成yaml文件genca在目录下生成证书生产证书后将证书导入浏览器导入后在本地安装一下。
xrayburp联动
LAngle9的博客
04-12 1618
拿到一个网站,配置hosts,ip和域名,拿到测试账号和密码。 登录,使用burpxray. 配置burp顶级代理服务器
Burp+Xray联动使用
2301_78834737的博客
07-11 1401
因为我们的实验目标是pikachu靶场。2)然后,我们启动burpsuite,并且在Proxy的options选项下,设置proxy listeners的端口原来从8080改成8081。3)然后,我们去burpsuite的user options里面,找到upstream proxy servers,把目标主机设置为http://pikachu.shifa23.com/1)首先,我们启动Xray的url监听功能,我们设置监听地址为127.0.0.1,端口为7777。输入以下命令后,xray的监听就开始了。
burpXray联动
yzl_007的博客
07-21 5589
burpXray联动 前面使用Xray联动Rad被动扫描,这里介绍一下Xrayburp联动 xray也常用来与burp联动进行被动扫描,在进行内网web渗透的时候,能大大提高渗透效率。 1、配置burp 在常规的抓包基础上,burp在配置一个下游的代理。将流量转发给xray进行扫描。在bupp能抓到网站数据包的基础上进行如下配置。这里bp将流量抓发到本机的7777端口 2、开启Xray cd到xray.exe的目录下,启动xary并监听对应地址,输出为html文件 xray_windows_am
xrayburp联动被动扫描
深耕网络安全领域,聚焦护网行动(HW)、渗透测试、等级保护(等保)、CTF 竞赛四大核心方向,提供技术干货、实战经验与行业洞察。
08-20 464
证书导入: 双击导入 0X00xray建立监听 在实际测试过程中,除了被动扫描,也时常需要手工测试。这里使用 Burp 的原生功能与 xray 建立起一个多层代理,让流量从 Burp 转发到 xray 中。 首先 xray 建立起 webscan 的监听 .\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output proxy.html 使用该命令建立起监听 0X01对brup端进行配置 进入 Burp 后,打开 Use
第四种:Xray安全测试(Xrayburp联动)实例()
欢迎来到本博客!
01-24 973
【代码】第四种:Xray安全测试(Xrayburp联动)实例()
xray工具—代理扫描、爬虫扫描Burp联动
剁椒鱼头没剁椒的博客
05-31 5831
Xray是长亭科技推出的一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,支持主动、被动等多种扫描方式,支持WindowsLinuxmacOS多种操作系统,同时支持用户自定义POC。目前xray分为:社区版、高级版、企业版。其中社区版是为免费版本,高级版需要为社区提供贡献获取金币、抽奖、商业销售进行获取,而企业版则只能通过商务购买进行获取。这里确实本来想好好总结一下,但是写着写着,发现确实配置文件都是中文,而且非常好理解,同时Xray
漏洞发现:Burp Suite 联动 XRAY 图形化工具.(主动扫描+被动扫描
网络安全领域___专研者.
02-10 3150
Burp Suite 和 Xray 联合使用,能够将 Burp 的强大流量拦截与修改功能,与 Xray 的高效漏洞检测能力相结合,实现更全面、高效的网络安全测试,同时提升漏洞发现的准确性和测试效率。
xrayburp联动代理配置
07-28
- *2* [Xray+burp联动使用被动扫描)](https://blog.youkuaiyun.com/single_g_l/article/details/124423431)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值