简介
Xray+burpsuite联动被动扫描,该技术手段是自动挖掘漏洞的一种方式。由于AWVS是国外团队编写,对国内的poc支持的少,但是它的爬虫功能强大,而Xray与它相反,它的爬虫弱,但是对国内的poc支持的多,所以我们可以把它们结合在一起,实现效率最大化。可在burp的http历史记录需要查看每一个数据包;awvs+xray无疑awvs的爬虫很好用,支持表单分析和单页应用的爬取,xray的扫描功能很强大;xray+burp将burp的流量转发给xray扫描,简单点来说就是你访问一个页面,xray就会对这个页面就行扫描;各有各的好处
使用步骤
burp是web渗透测试中最常用的工具之一。可以通过抓包请求,分析站点漏洞等
设置Burp
设置代理转发
添加一层代理将数据转发给Xray
Xray设置
Xray用于检测和评估web应用程序的安全性。具有一下特点:检测速读快、检查范围广、代码质量高、高级可定制以及安全无危害。
启用Xray
xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output test.html
AWVS设置
启动AWVS,添加扫描目标和代理,并自定义请求头
配置代理:
效果展示
下载链接
Xray1.9.11
链接:https://pan.baidu.com/s/1HtT28vxYvj0rxGJf2HZGdw?pwd=se1j
解压密码:6171bfe836af5c1e577c3feaf68ec90271a7836e6ee599c6052685ff08649ee1
Burp2023.11.1
链接:https://pan.baidu.com/s/1HtT28vxYvj0rxGJf2HZGdw?pwd=se1j
解压密码:6171bfe836af5c1e577c3feaf68ec90271a7836e6ee599c6052685ff08649ee1
原文始发于微信公众号(小C学安全):【渗透工具】AWVS+Xray+Burp联合测试(附工具下载链接)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论