简介

Xray+burpsuite联动被动扫描，该技术手段是自动挖掘漏洞的一种方式。由于AWVS是国外团队编写，对国内的poc支持的少，但是它的爬虫功能强大，而Xray与它相反，它的爬虫弱，但是对国内的poc支持的多，所以我们可以把它们结合在一起，实现效率最大化。可在burp的http历史记录需要查看每一个数据包;awvs+xray无疑awvs的爬虫很好用,支持表单分析和单页应用的爬取,xray的扫描功能很强大;xray+burp将burp的流量转发给xray扫描,简单点来说就是你访问一个页面,xray就会对这个页面就行扫描;各有各的好处

使用步骤

burp是web渗透测试中最常用的工具之一。可以通过抓包请求，分析站点漏洞等

设置Burp

设置代理转发

添加一层代理将数据转发给Xray

Xray设置

Xray用于检测和评估web应用程序的安全性。具有一下特点：检测速读快、检查范围广、代码质量高、高级可定制以及安全无危害。

启用Xray
xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output test.html

AWVS设置

启动AWVS,添加扫描目标和代理,并自定义请求头

配置代理：

效果展示

下载链接

 

Xray1.9.11

链接：https://pan.baidu.com/s/1HtT28vxYvj0rxGJf2HZGdw?pwd=se1j
解压密码：6171bfe836af5c1e577c3feaf68ec90271a7836e6ee599c6052685ff08649ee1

Burp2023.11.1

链接：https://pan.baidu.com/s/1HtT28vxYvj0rxGJf2HZGdw?pwd=se1j

解压密码：6171bfe836af5c1e577c3feaf68ec90271a7836e6ee599c6052685ff08649ee1

 

 

原文始发于微信公众号（小C学安全）：【渗透工具】AWVS+Xray+Burp联合测试（附工具下载链接）