通常我們在進行web掃瞄漏洞時候,都是使用各種掃瞄器輸入**亂掃一通。這種方式雖然大眾化,但存在許許多多的缺點。
比如:直接掃瞄導致訪問**變慢、ip存在被防火牆ban的可能。
那麼今天帶來的新姿勢就是xray被動式掃瞄,在我們進行手動瀏覽器網頁時,使用burp抓包,並且對瀏覽過的網頁進行漏洞掃瞄。
第一步:開啟burp,設定**。
第二步:瀏覽器設定**與burp進行聯通。
此時通過瀏覽器訪問**後的資料報,都會被burp抓取到,那麼如果我們只需要檢測某乙個web位址,該如何設定呢?
此時我們可以在burp裡面設定,方法如下,新增我們需要抓取資料的web位址。
比如設定為:
設定好了以後,此時我們通過**好的瀏覽器訪問www.baidu.com、burp就會抓取到資料報,而訪問非www.baidu.com的位址,burp則不會抓取資料報。
第四步:此時我們只是達到了,通過瀏覽器訪問目標位址後,burp能抓取的資料報的功能,但是burp和xray之間還未聯通起來。
通過burp設定xray的上游**,步驟如下。
第五步:啟動xray設定**
xray設定好**以後,我們通過瀏覽器訪問我們的目標位址——》burp抓取目標位址的資料報——》xray對burp抓包的資料報進行漏洞檢測。
到此,xray+brupsuite的被動掃瞄就設定完成了。
xray與burp聯動被動掃瞄
最近也是剛實習了幾天,看見帶我的那位老哥在用xray,而且賊溜,所以我想寫幾篇關於xray的使用的文章 在實際測試過程中,除了被動掃瞄,也時常需要手工測試。這裡使用 burp 的原生功能與 xray 建立起乙個多層 讓流量從 burp 到 xray 中。首先 xray 建立起 webscan 的監聽...
xray 被動 xray一款強大的web漏掃工具
xray是長亭6月份放出的漏掃工具,個人感覺比其他掃瞄器要好用一些,支援被動掃瞄和主動掃瞄,操作方便。這裡演示下被動掃瞄的步驟。開啟命令列切到該目錄下,執行下面的命令生成證書和配置檔案 安裝證書這裡就不再演示了,跟burp安裝證書一樣,配置檔案一般也預設就可以。然後瀏覽器設定乙個 就可以進行被動掃瞄...
主動掃瞄與被動掃瞄
之前要實現wifi上的探針模組,簡單了了解了802.11中的各種幀,對一些幀的傳送頻率和方式也有簡單了解。不過了解的都不夠細緻。只是簡單知道手機開啟wifi後回不停的向外傳送probe request這個幀,然後也在不停的監聽當前通道上ap廣播過來的beacon幀。這裡詳細介紹一下802.11中的主...