一、Xray的安裝和使用

下載安裝地址：https://github.com/chaitin/xray/releases　　　注：關於M1下載第3個。

第一步要先生成證書，然後倒入計算機即可。 　　./xray genca

第二步執行　　./xray　　生成一個配置檔案。　　在配置檔案當中可以對xray的掃描進行設定。

實戰1：使用xray的主動掃描DVWA靶場。

注意，我們在掃描需要登入的網站的時候需要在xray裡面設定cookie，所以我們的第一步就是在網站當中把cookie取出來然後放到xray的配置檔案當中。

 執行命令：

 ./xray webscan --basic-crawler http://49.232.106.183/dvwa-labs/ --html-output DVWA.html 

然後去DVWA.html去檢視掃描結果。

實戰2：使用xray的被動掃描

./xrat webscan --listen 127.0.0.1:7777 --html-output dvwa.html

然後通過瀏覽器外掛將代理指向xray監聽的地址埠即可。這時候在目標網站進行手動探測（被動掃描），而不是整個網頁都掃一遍。

三、Xray和BurpSuite聯動使用

我們在BurpSuite的設定裡面將流量轉發給我們的xray即可然後選擇效用。