Veritasd
commented
5 months ago 建议可以添加个自定义密码爆破所有的服务,不然一个个添加太麻烦了
Closed WangGuixiu closed 5 months ago
Veritasd
commented
5 months ago 建议可以添加个自定义密码爆破所有的服务,不然一个个添加太麻烦了
TideSec
commented
5 months ago 建议可以添加个自定义密码爆破所有的服务,不然一个个添加太麻烦了
你可以设置任意一个密码,然后点击"一键更新所有密码",这样所有的密码都是用你自定义的那个了。
TideSec
commented
5 months ago 看了下调用的命令有这么长一串"webscan --plugins brute-force,cmd-injection,dirscan,jsonp,path-traversal,sqldet,ssrf,xss,xxe,fastjson,shiro,struts,thinkphp,xstream,phantasm -u ",但其实很大一部分是不需要的,命令参数可不可以自己定义,我没有配置文件中找到
找了一个站点测试了一下,如果调用xray只做内置poc检测,发送数据包大约870个。如果加了上面这些参数后,发送数据包大约1420个,且有一定概率能发现常规漏洞。用时基本相差10秒左右。
所以暂时把参数进行了优化,但暂时仍保留这些参数。后面会考虑加自定义参数功能。
poc检测中只开启xray,选择一个目标、一个poc
它会产生很多请求,像这样
看了下调用的命令有这么长一串"webscan --plugins brute-force,cmd-injection,dirscan,jsonp,path-traversal,sqldet,ssrf,xss,xxe,fastjson,shiro,struts,thinkphp,xstream,phantasm -u ",但其实很大一部分是不需要的,命令参数可不可以自己定义,我没有配置文件中找到