经常会有这样的春天，你待在房间里无所事事，看着窗子外面的蓝天发呆，鸟一闪而过，去了你永远不知道的地方。

前言

一、Xray的安装

二、Xray的使用

三、Xray联动burp

总结

    xray是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器，支持主动、被动多种扫描方式，自备盲打平台、可以灵活定义 POC，功能丰富，调用简单，支持 Windows / macOS / Linux 多种操作系统，可以满足广大安全从业者的自动化 Web 漏洞探测需求。

下载地址：https://github.com/chaitin/xray/releases

这里以linux系统进行安装

此为最新xray包，将其进行下载解压，在linux终端运行

安装完成查看：

安装完成，使用该命令执行：

 将ca证书导入至firefox浏览器即可扫描https网站流量，导入方法如下：

在firefox设置代理，添加xray本地7777端口的代理：

访问一个线上的漏洞站：

将此站点的大部分进行了点击，查看proxy.html文件如下：

其他常用命令：

单个url检测

使用 HTTP 代理发起被动扫描 运行被动扫描

指定模块扫描

首先下载插件：

https://github.com/c0ny1/passive-scan-client/releases/tag/0.3.1

进入burp进行导入插件，如下：

导入成功模块：

注：burp也需要进行证书导入，不然无法抓取流量：

下载至本地，添加方式与xray一样，这里不多做讲解

导入成功，设置Passive Scan Client：

这里主要是将其流量转发至7777端口，也就是xray上，然后进行xray+burp联动

可以看到xray对burp转发的流量进行了漏洞扫描，是很方便的一款工具哦

以上就是今天要讲的内容，本文仅仅简单介绍了xray的使用，以及xray+burp的联动，其实利用好xray也是一款好的利器。详细使用​可以查看：https://docs.xray.cool/#/tutorial/introduce

#################### 免责声明：工具本身并无好坏，希望大家以遵守《网络安全法》相关法律为前提来使用该工具，支持研究学习，切勿用于非法犯罪活动，对于恶意使用该工具造成的损失，和本人及开发者无关。 ####################