目的：安全测试过程中手动分析测试与xray自动化扫描测试结合，这样可以从多层保障安全测试的分析，针对平台业务接口量大的安全测试是十分有用的，可以实现双向测试同时开始。

xray简介

xray 是一款功能强大的安全评估工具，由多名经验丰富的一线安全从业者呕心打造而成，主要特性有:

• 检测速度快。发包速度快; 漏洞检测算法效率高。
• 支持范围广。大至 OWASP Top 10 通用漏洞检测，小至各种 CMS 框架 POC，均可以支持。
• 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
• 高级可定制。通过配置文件暴露了引擎的各种参数，通过修改配置文件可以客制化功能。
• 安全无威胁。xray 定位为一款安全辅助评估工具，而不是攻击工具，内置的所有 payload 和 poc 均为无害化检查。

1.xray安装和使用

1.1下载地址：xray community

 

 1.2下载本地完成

1.3解压完成xray

 1.4 双击运行xray_windows_amd64.exe,生成配置文件如下

 1.5 window是下win+r 运行powershell打开powershell窗口

 

1.6 进入命令终端。

然后 cd 到下载目录，运行 .\xray_windows_amd64.exe 查看xrag情况

2.证书的生成和安装

2.1运行 .\xray_windows_amd64.exe  genca生成证书

 2.2 双击运行证书安装2,3  证书选择导入受信任的根证书颁发机构

***xray的基本使用就在此详细介绍了，此处忽略，下面直接开始联动，默认burpsuite安装完毕***

 3.使用 Burp 的原生功能与 xray 建立起一个多层代理，让流量从 Burp 转发到 xray 中。

3.1首先 xray 建立起 webscan 的监听，运行.\xray_windows_amd64.exe  webscan --listen 127.0.0.1:7777 --html-output result.html

 3.2进入 Burp 后，打开 User options 标签页，然后找到 Upstream Proxy Servers 设置。

点击 Add 添加上游代理以及作用域，Destination host处可以使用*匹配多个任意字符串，?匹配单一任意字符串，而上游代理的地址则填写 xray 的监听地址。

请求经过了burp

​​​​​​​

 

 转发到了 xray 中

 

联动成功了