web扫描姿势——xray被动扫描

最新推荐文章于 2025-04-22 17:09:20 发布

XG小刚

最新推荐文章于 2025-04-22 17:09:20 发布

阅读量10w+

点赞数 13

分类专栏： Web安全笔记渗透实例文章标签：安全 web扫描

本文链接：https://blog.youkuaiyun.com/weixin_43221560/article/details/105907150

版权

作者：小刚
一位苦于信息安全的萌新小白帽，记得关注给个赞，谢谢
本实验仅用于信息防御教学，切勿用于其它用途

web扫描技巧

web扫描新姿势：被动扫描
- passive-scan-client介绍
- xray扫描器
xray和passive-scan-client组合使用
总结

web扫描新姿势：被动扫描

通常我们在进行web扫描漏洞时候，都是使用各种扫描器输入网址乱扫一通。这种方式虽然大众化，但存在许许多多的缺点。

	扫描导致访问网址变慢
	ip存在被防火墙封的可能
	在进行人工测试时候，web扫描器就没法实现扫描规定的内容

今天所带来的新姿势就是被动式扫描web漏洞，在我们进行手动浏览网页的过程中，使用burp抓包，并能对浏览过的网页进行漏洞扫描。
所以我们需要：
burp插件passive-scan-client
一个被动扫描器(我选择的是xray)

passive-scan-client介绍

此软件是国内大佬开发的burp流量转发插件，这个插件将正常访问网站的流量与提交给被动扫描器的流量分开，互不影响。
github下载passive-scan-client

xray扫描器

xray是一款功能强大的安全评估软件

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

XG小刚

关注关注

13
点赞
踩
48

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

burp联动xray进行被动扫描

希望我的博客，能帮上你解决学习中工作中所遇到的问题

03-02

1169

本文详细介绍了xray与burp进行联动的方法，被动扫描和手工测试双管齐下快速出洞，在burp上配置xray代理，将burp流量转发给xray扫描，这样便可坐收漏洞了 4、不是在piliang目录下，而是在xray.exe的目录这

Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等

weixin_46280935的博客

09-10

6117

Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享，作为笔记吧，欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合文章/书籍/教程相关说明请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏

1 条评论您还未登录，请先登录后发表或查看评论

Xray+burp联动使用（被动扫描）

single_g_l的博客

04-28

1万+

一、Xray工具 1、Xray概念 Xray是一款功能强大的安全评估工具,主要特性有:检测速度快。发包速度快; 漏洞检测算法高效。支持范围广、代码质量高高级可定制、安全无威胁都是它的特点。大至 OWASP Top 10 通用漏洞检测，小至各种 CMS 框架 POC，均可以支持；编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性；xray 定位为一款安全辅助评估工具，而不是攻击工具，内置的所有 payload 和 poc 均为无害化检查。 2、下载..

常用Web安全扫描工具合集，从零基础到精通，收藏这篇就够了!

最新发布

Javachichi的博客

04-22

898

你需要花大量的时间去分析这些报告，判断哪些是真正需要修复的，哪些是可以忽略的。而且，Nessus的授权也比较复杂，需要根据你的需求选择不同的版本。它就像个勤勤恳恳的老黄牛，帮你把网站爬一遍，看看有没有常见的SQL注入、XSS之类的漏洞。你需要结合自己的实际情况，选择合适的工具，并且不断学习、提升自己的安全技能。Goby，最近冒出来的一款国产扫描器，号称能梳理企业最全的攻击面，还能模拟黑客的攻击思路。Nessus，一款老牌的漏洞扫描器，功能很强大，可以扫描各种操作系统、应用程序和设备。

常用的被动扫描工具Xray

mashiro_hibiki的博客

03-07

2032

由长亭科技所开发的漏洞检测工具，所支持检测的漏洞类型有：XSS漏洞检测、SQL 注入检测、命令/代码注入检测支持 shell 命令注入、PHP 代码执行、模板注入等、目录枚举dirscan检测备份文件、临时文件、debug 页面、配置文件等10余类敏感路径和文件路径穿越检测、外部实体注入检测xxe、支持有回显和反连平台检测poc等

第四种：Xray安全测试(被动扫描)实例(三)-重点

欢迎来到本博客！

02-24

1813

【代码】第四种：Xray安全测试(被动扫描)实例(三)-重点。

使用xray进行被动扫描

孤的博客

08-25

5401

下载链接： https://github.com/chaitin/xray/releases 选择自己想要安装的版本使用 HTTP 代理发起被动扫描先设置浏览器代理在cmd下执行被动扫描的命令 xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output proxy.html 可以看到已经开始监听了导入证书在运行之后，在xray所在目录下回生成一个ca.crt证书文件，导入浏览器 ...

xray 被动_web扫描姿势—xray被动扫描

weixin_42513512的博客

01-10

2414

一位苦于信息安全的萌新小白帽本实验仅用于信息防御教学，切勿用于它用途公众号：XG小刚WEB扫描新姿势被动扫描通常我们在进行web扫描漏洞时候，都是使用各种扫描器输入网址乱扫一通。这种方式虽然大众化，但存在许许多多的缺点。扫描导致访问网址变慢ip存在被防火墙封的可能在进行人工测试时候，web扫描器就没法实现扫描规定的内容今天所带来的新姿势就是被动式扫描web漏洞，在我们进行手动浏览网页...

扫描之xray被动扫描教程

shy的博客

04-03

8223

主动扫描：使用AWVS、appscan、nessus上配置网站域名或者IP，然后就不管了，扫描器会自动完成后续的爬取连接、验证漏洞的过程。被动扫描：结合burp，手工浏览网站，将你觉得有可能存在漏洞的数据包或连接发送给扫描器进行扫描。工具准备：burp插件passive-scan-client、xray burp插件passive-scan-client 作用：将访问网站的流量和提交给扫描器的流量分开。下载地址：https://github.com/c0ny1/passive-scan-cl

渗透测试培训必会工具xray扫描器被动扫描的使用(二）

01-12

925

本例我们使用kalilinux，以及kali下的burpsuite结合来使用。然后配置proxy模块以及浏览器的地址，我们来进行抓包。我们在随便点击几个注入链接，观察结果变化。然后我们来配置 burpsuite 工具。扫描结束后，ctrl+c结束，查看报告。现在我们放开包，观察xray扫描过程。承接上篇，这次我们讲解被盗扫描。

BurpSuite与Xray联动进行被动扫描实战

永远是少年

01-01

1807

Xray和burpsuite联动被动扫描

热门推荐

遇事不决冲冲冲

12-26

1万+

Xray捡洞中的高频漏洞 Xray和burpsuite联动实现被动漏扫 xray 1.8.2pro破解版常见问题 - xray 安全评估工具文档

Burp与Xray联动-被动扫描

玖的博客

12-08

1877

Burp与Xray联动实现自动化扫描及APP，小程序测试xray 是一款功能强大的安全评估工具，其中 POC 框架默认内置 Github 上贡献的 poc，用户也可以根据需要自行构建 poc 并运行。

BurpSuite搭配Xray被动扫描

The current road is different, love needs to distinguish between right and wrong

02-05

3932

简介 Xray 社区版是长亭科技推出的免费白帽工具，有 xray 漏洞扫描器和 Radium 爬虫工具，是一种功能强大的扫描工具。根据系统选择对应版本，无依赖，无需安装，下载后直接使用。 --plugins 指定要运行的插件，用“，”分隔 --poc 指定要运行的 poc，用 ',' 分隔 --listen 使用代理资源收集器，值为代理地址，（例如：127.0.0.1:1111） --basic-crawler 使用基本爬虫爬取目标并扫描请求 --browser-

Xray被动扫描命令

01-27

922

xray.exe webscan --listen 127.0.0.1:67 --html-output localhost2.html

xray安装与bp组合使用-被动扫描

weixin_42786460的博客

10-14

1142

xray安装与bp组合使用-被动扫描

xray 被动_BurpSuite + Xray 被动扫描配置

weixin_42355421的博客

12-24

771

BurpSuite手动测试配合xray做被动扫描，实际使用结果还不错，主要扫描出的漏洞集中在敏感信息泄露和xss一类的。0x00、BurpSuite的代理配置：首先需要配置BurpSuite转发ip与端口：流程：1、选择 user options2、选择Upstream Proxy System3、添加ip与端口信息，第一行填 * 匹配任意字符，第二行填ip(这里的ip取决于你的xray服务所在的...

被动web扫描器 xray的使用

她叫常玉莹

07-18

8178

xrayxray下载xray基础参数xray常用配置xray的使用基础爬虫进行扫描使用代理模式进行扫描Xray与burpsuite的联动 xray下载 Xray 是二进制文件，也没有依赖环境，下载解压后即可使用。下载地址：Gthub：https://github.com/chaitin/xray 下载适合自己系统的压缩包. xray基础参数 Webscan：web扫描输入websacn -h可以看到参数 –plugins 配置本次扫描启用的插件 –poc 配置本次扫描启用某些poc –listen 启

Xray工具在Windows平台的被动扫描功能使用

- **被动扫描**: 被动扫描是一种网络监控技术，通常用在网络安全领域。它指的是在不发送任何网络数据包到目标的情况下，分析通过网络上的数据流来检测可能的安全威胁、异常行为或信息泄露。与主动扫描不同，主动扫描...