Xray+burpsuite联动被动扫描

高级版Xray
在第一次运行后会生成一个配置文件，config.yaml
生成证书，可以进行https的扫描，
.\xray_windows_amd64.exe genca

在当前目录生成证书，

导入浏览器(谷歌火狐均可，方法自行百度)
配置浏览器设置代理（可以使用插件，谷歌火狐都有代理插件)

*gov.cn是必须要排除在外的，直接放包，不做测试。
然后就是burpsuite的一些配置

前提是burp的浏览器代理是与刚设置的浏览器代理一样，我这里默认是8080，所以就补贴图了。
然后这些配置基本就算完了。就是开启xray进行手工点击进行扫描了
.\xray_windows_amd64.exe webscan —listen 127.0.0.1:7777 —html-output result.html

浏览器打开网站，我这里使用了DVWA的靶场来进行测试了
登陆进去之后，浏览器代理挂起来，开始点击，burp那边一直放包。
最后生成xray生成result.html漏洞报告。

很强的工具。
后期结合rad进行半自动化扫描