(以下測試環境均在本地windows10下進行。)
首先,xray建立了對webscan的監控:
然後在打嗝的選項->中;在上遊代理服務器中添加上遊代理:
瀏覽器代理是設置Burp的監聽代理端口,而不是上遊代理(略)。
妳可以看到通過Burp的流量也被轉發到Xray。
以下是今天下午對甲方的測試結果:
接口的post包的內容如下:
正常請求和響應:
這個過程很短,構造有效負載:(下面是錯誤註釋)
返回的結果如下:
然後回頭看看我們此時的x光工作:
有壹些誤報,但總體來說還是很滿意的,還有剛才我們手動測試的註入接口。
偶然收獲幾個xs也很好吃:
被動掃描和主動測試的結合確實能給我們帶來不錯的效果,但是我們的重點主要是對業務接口的熟悉程度和測試的深度,而不是關註工具的結果反饋。刀具掃描的結果也需要進壹步的人工確認。還有壹個問題需要解決。目前還沒有辦法控制x射線的模糊強度。在我們人工測試的過程中,異常流量會被防火墻檢測出來,我們的ip會直接給ban。其實有點不公平。哈哈,思路解決方案是根據後臺雲服務器信息為xray掛相應的代理,但這並不適用於所有站點。