Burp+Xray联动(被动扫描)

最新推荐文章于 2025-01-24 16:28:02 发布
原创 最新推荐文章于 2025-01-24 16:28:02 发布 · 1.8k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文详细介绍了Xray这款安全评估工具的特点、下载地址,以及Windows和Kali/Linux环境下的安装与配置步骤,包括证书生成、代理设置、Burp联动扫描等内容,帮助读者掌握Xray的使用方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、Xray概念

Xray是一款功能强大的安全评估工具,主要特性有:检测速度快。发包速度快; 漏洞检测算法高效。

支持范围广、代码质量高高级可定制、安全无威胁都是它的特点。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持;编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性;xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。

Xray挂代理被动扫描,只能扫出owasp top 10的漏洞。业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试同时进行,可以将xray与burp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,就可以接收到漏洞了。

2、下载地址:

Releases · chaitin/xray · GitHub

3、windows安装与配置流程

1)以windows为例,下载到xray目录下,为方便操作可将文件名修改为xray.exe,双击安装

2)进入cmd输入下面语句使用xray


                

        

    

    
  


        

            

                      
                        最低0.47元/天 解锁文章
                        

                          
200万优质内容无限畅学

                          
                        

                      
            

        


    

      

        

            

              
                
                  Sup_Tranks
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
XrayBurp联动

				
			

			

				

					xiaoheizi的博客
				

				

					06-12
					
					8473
					
				

			

		

		

			
				
业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试同时进行,可以将xrayburp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,就可以接收到漏洞了。xray根目录打开cmd命令行输入:.\xray.exe webscan –listen 127.0.0.1:8989 –html-output “自己的桌面路径\xray.html”命令意思:配置代理进行被动扫描,即本地8989端口进行流量监听,并把流量监听挖掘到的漏洞详情保存到桌面的xray.html文件内。

			
		

	



                

            
              



	

		

			

				
					
网站漏洞扫描软件Burp suite和Xray安装应用及联合使用

				
			

			

				

					XLbb的博客
				

				

					07-23
					
					3109
					
				

			

		

		

			
				
Burp suite是web应用程序测试的最佳工具之一,其多种功能可以帮助我们执行各种任务;包括数据包请求拦截与修改、扫描web应用程序漏洞,以及暴力破解登录菜单,执行会话令牌等多种的随机性检查。
xray社区是长亭科技推出的免费白帽子工具平台,目前社区有xray、xpoc和radium工具,均有多名经验丰富的安全开发人员;以及数以万名社区贡献者共同打造而成;相比于其他国外扫描器,xray支持反向扫描,可以进行配合手工检测。

			
		

	



              


  
              

                


	

		

			

				
					
BurpXray联动-被动扫描

				
			

			

				

					玖的博客
				

				

					12-08
					
					2122
					
				

			

		

		

			
				
BurpXray联动实现自动化扫描及APP,小程序测试xray 是一款功能强大的安全评估工具,其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。

			
		

	





	

		

			

				
					
Xray+具体案例+burp联动(很详细)

				
			

			

				

					huangjun的博客
				

				

					10-20
					
					7167
					
				

			

		

		

			
				
一款非常强大的开源工具,可大大提高安全效率,值得学习。

			
		

	



		

			
		



	

		

			

				
					
Xray+burp联动使用(被动扫描

				
			

			

				

					single_g_l的博客
				

				

					04-28
					
					1万+
					
				

			

		

		

			
				
一、Xray工具

1、Xray概念

Xray是一款功能强大的安全评估工具,主要特性有:检测速度快。发包速度快; 漏洞检测算法高效。

支持范围广、代码质量高高级可定制、安全无威胁都是它的特点。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持;编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性;xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。

2、下载..

			
		

	





	

		

			

				
					
Burp+Xray联动使用

				
			

			

				

					2301_78834737的博客
				

				

					07-11
					
					1263
					
				

			

		

		

			
				
因为我们的实验目标是pikachu靶场。2)然后,我们启动burpsuite,并且在Proxy的options选项下,设置proxy listeners的端口原来从8080改成8081。3)然后,我们去burpsuite的user options里面,找到upstream proxy servers,把目标主机设置为http://pikachu.shifa23.com/1)首先,我们启动Xray的url监听功能,我们设置监听地址为127.0.0.1,端口为7777。输入以下命令后,xray的监听就开始了。

			
		

	





	

		

			

				
					
burp联动xray进行被动扫描

				
			

			

				

					希望我的博客,能帮上你解决学习中工作中所遇到的问题
				

				

					03-02
					
					1194
					
				

			

		

		

			
				
本文详细介绍了xrayburp进行联动的方法,被动扫描和手工测试双管齐下快速出洞,在burp上配置xray代理,将burp流量转发给xray扫描,这样便可坐收漏洞了

4、不是在piliang目录下,而是在xray.exe的目录这

			
		

	





	

		

			

				
					
xary 扫描器教程与Burpsuite的联动一条龙服务

				
			

			

				

					WLWB9277的博客
				

				

					07-30
					
					1790
					
				

			

		

		

			
				
下载好后有好几个系统版本,根据自己的情况安装。安装好后有这样几个配置文件。

			
		

	





	

		

			

				
					
使用 Burpsuite 与 xray 进行联动

				
			

			

				

					gaomei2009的专栏
				

				

					08-03
					
					2083
					
				

			

		

		

			
				
使用 Burpsuite 与 xray 进行联动

			
		

	





	

		

			

				
					
第四种:Xray安全测试(Xrayburp联动)实例()

					
最新发布

				
			

			

				

					欢迎来到本博客!
				

				

					01-24
					
					904
					
				

			

		

		

			
				
【代码】第四种:Xray安全测试(Xrayburp联动)实例()

			
		

	





	

		

			

				
					
xrayburp联动

				
			

			

				

					xhscxj的博客
				

				

					10-25
					
					3561
					
				

			

		

		

			
				
xray下载安装先通过PowerShell打开xray所在的目录,运行,生成yaml文件genca在目录下生成证书生产证书后将证书导入浏览器导入后在本地安装一下。

			
		

	





	

		

			

				
					
xray使用初试-扫描登录后的APP

				
			

			

				

					u011975363的专栏
				

				

					05-06
					
					4689
					
				

			

		

		

			
				
平时用的扫描器一般是AWVS,appscan等,属于主动扫描,但对于登录后的各种功能都不方便扫描,今天经同事指导,认识了xray扫描器,利用该扫描器配置代理对登录后的app进行了扫描,效果还不错,因此记录下来与大家分享。

			
		

	





	

		

			

				
					
xray + burp

				
			

			

				

					qq_53086690的博客
				

				

					12-09
					
					4001
					
				

			

		

		

			
				
今天我想给大家分享的是 burp + xray 打联合拳
首先我们了解一下这两款软件是干什么的。
burp
burp是一款抓包软件,它有很多作用。

抓包
攻击模式(爆破,多线程发包等)
对抓到的包进行重放
爬虫
加密,解密
比较
等

在此我就不再一一介绍burp的作用了。如果大家感兴趣我可以出一个关于burp的使用的文章
xray
xray是一款自动化挖掘漏洞的软件,是长亭科技推出的一款供白帽子免费使用的漏洞挖掘软件。

xray一款强大的扫描引擎

genca 生成ca证书
upgrade 更新xra

			
		

	





	

		

			

				
					
XRay安装使用以及Burp联动

					
热门推荐

				
			

			

				

					柠鹿的轨迹
				

				

					11-09
					
					2万+
					
				

			

		

		

			
				
0x00 前言

XRay是长亭科技洞鉴核心引擎中提取出的社区版漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描被动代理扫描、社区POC集成……

XRay 的定位是一款安全辅助评估工具,而不是攻击工具,其内置的所有 payload 和 poc 均为无害化检查。毫不犹豫的说,XRay属于渗透测试人员安全渗透的一大神兵利器!

可以想象,当BurpXRay联动时,必将碰撞出不一样的火花!

0x01 下载XRay

...

			
		

	





	

		

			

				
					
xrayburp联动

				
			

			

				

					LAngle9的博客
				

				

					04-12
					
					1567
					
				

			

		

		

			
				
拿到一个网站,配置hosts,ip和域名,拿到测试账号和密码。

登录,使用burpxray.

配置burp顶级代理服务器




			
		

	





	

		

			

				
					
Xrayburpsuite联动被动扫描

				
			

			

				

					遇事不决冲冲冲
				

				

					12-26
					
					1万+
					
				

			

		

		

			
				
Xray捡洞中的高频漏洞
Xrayburpsuite联动实现被动漏扫
xray 1.8.2pro破解版
常见问题 - xray 安全评估工具文档



			
		

	





	

		

			

				
					
xray工具—代理扫描、爬虫扫描Burp联动

				
			

			

				

					剁椒鱼头没剁椒的博客
				

				

					05-31
					
					5290
					
				

			

		

		

			
				
Xray是长亭科技推出的一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,支持主动、被动等多种扫描方式,支持WindowsLinuxmacOS多种操作系统,同时支持用户自定义POC。目前xray分为:社区版、高级版、企业版。其中社区版是为免费版本,高级版需要为社区提供贡献获取金币、抽奖、商业销售进行获取,而企业版则只能通过商务购买进行获取。这里确实本来想好好总结一下,但是写着写着,发现确实配置文件都是中文,而且非常好理解,同时Xray

			
		

	





	

		

			

				
					
burpXray联动

				
			

			

				

					yzl_007的博客
				

				

					07-21
					
					5515
					
				

			

		

		

			
				
burpXray联动
前面使用过Xray联动Rad被动扫描,这里介绍一下Xrayburp联动
xray也常用来与burp联动进行被动扫描,在进行内网web渗透的时候,能大大提高渗透效率。
1、配置burp
在常规的抓包基础上,burp在配置一个下游的代理。将流量转发给xray进行扫描。在bupp能抓到网站数据包的基础上进行如下配置。这里bp将流量抓发到本机的7777端口

2、开启Xray
cd到xray.exe的目录下,启动xary并监听对应地址,输出为html文件
xray_windows_am

			
		

	





	

		

			

				
					
实战xray+burp挖掘通用型漏洞

				
			

			

				

					weixin_42508548的博客
				

				

					12-30
					
					4958
					
				

			

		

		

			
				
0x01 前言

前面写了一篇某次通用型漏洞挖掘思路分享,其中扯了一下使用xray扫描发现通用型漏洞,有人说这样的方法没有发现啥有用的漏洞,这里展开讲讲。

0x02 环境准备

准备xray+burp+搭建环境即可 1、因为漏洞暂未公开,这里不讲如何搭建环境。 2、xray只要在github中下载即可,我这里使用的是mac版 下载地址: Release XRAY 1.8.2 · chaitin/xray · GitHub



3、burp市面上太多教程了,这里不详细讲,可以看看这篇文章 Burp安装流程

			
		

	





	

		

			

				
					
burpxray联动

				
			

			

				

					05-08
				

			

		

		

			
				
Burp Suite是一个流行的Web应用程序安全测试工具,而Xray是一款高效的Web漏洞扫描工具。将BurpXray联动可以帮助用户更快地检测和发现Web应用程序中的漏洞。

一般来说,BurpXray联动的方式有两种:手动导出请求和自动化。

手动导出请求方式需要用户使用Burp进行抓包,然后将抓包的请求导出为Xray可识别的格式,再将请求导入Xray进行扫描。这种方式相对较为繁琐,但适用于一些特定场景下。

自动化方式可以使用BurpXray的API接口进行联动。用户可以编写脚本或使用现有的脚本来自动化地实现BurpXray之间的数据传输。这种方式相对较为方便,适用于大规模扫描的场景。



			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值