Burp Suite 联动 XRAY 图形化工具.(主动扫描+被动扫描)
Burp Suite 和 Xray 联合使用,能够将 Burp 的强大流量拦截与修改功能,与 Xray 的高效漏洞检测能力相结合,实现更全面、高效的网络安全测试,同时提升漏洞发现的准确性和测试效率。
目录:
[Burp Suite 和 XRAY 简介:](#Burp Suite 和 XRAY 简介:)
[(1)在Burp Suite中设置一个转发流量的到8081端口](#(1)在Burp Suite中设置一个转发流量的到8081端口).
(2)第一次使用,这里需要选择我们的Xray.exe工具文件,点击同步Poc数据库
[(3)设置被动扫描,接收Burp Suite转发过来的8081端口流量](#(3)设置被动扫描,接收Burp Suite转发过来的8081端口流量)
[(4)Burp Suite每接收一个流量都会转发给Xray工具就行被动扫描.](#(4)Burp Suite每接收一个流量都会转发给Xray工具就行被动扫描.)
[(6)开启Burp Suite的主动扫描功能,这样就可以二个一起扫描.](#(6)开启Burp Suite的主动扫描功能,这样就可以二个一起扫描.)
Burp Suite 和 XRAY 简介:
联动使用的优势:
使用方法实战:
(1)在Burp Suite中设置一个转发流量的到8081端口,主要Burp Suite要经过流量 就会把流量自动转发到8081端口.(等下在Xray中设置一下被动扫描的端口,就可以接收8081端口的流量)
(2)第一次使用,这里需要选择我们的Xray.exe工具文件,然后点击同步Poc数据库
科普:POC数据库是指 用于存储和管理漏洞利用代码(Exploit)和漏洞概念验证(Proof of Concept)的数据库。这些数据库通常包含了大量已知漏洞的详细信息、利用代码以及验证漏洞存在性的 实验性脚本.
(3)设置被动扫描,接收Burp Suite转发过来的8081端口流量,点击开启被动扫描.
(4)我们在浏览器中 设置Burp Suite就行抓包就行,Burp Suite每接收一个流量都会转发给Xray工具就行被动扫描.(结果图)
Xray挂代理被动扫描,只能扫出owasp top 10的漏洞。业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试同时进行。
(5)再可以和rad就行联动.(rad可以高效率的扫描目录.)
添加好URL就可以就行目录扫描.
(6)开启Burp Suite的主动扫描功能,这样就可以二个一起扫描.(主动扫描+被动扫描)
