xray与appscan联动扫描App接口

摘要：全自动扫描手机API接口漏洞，彻底解放双手，感觉还是挺好用的；appscan可以fuzz每个api的参数，xray接收到数据会扫描常见漏洞。。。

appscan&xray安装

appscan破解版安装包：https://www.iculture.cc/?s=appscan&type=post

xray破解版安装：https://www.iculture.cc/software/pig=30388

至于详细的安装过程我就不说了，点击链接直达，想要的都会有。。。

xray与appscan联动扫描App接口

环境：

手机：192.168.3.31
xray：192.168.3.195
appscan：192.168.3.215

注意：手机、xray、appscan要处于同一局域网下

选择Web Api --> 远程客户机

这里要设置允许列表，你可以只设置允许手机和xray的IP，这里我为了方便，直接允许整个网段都可以走这个代理

手机要在同一WIFI下，添加HTTP代理，这里的IP和端口，就是appscan的远程客户机设置的内容。（这里安卓手机好使一点）

xray开启监听，从而接收appscan的数据。

.\xray.exe webscan --listen 0.0.0.0:7777 --html-output test.html

然后appscan还要指定xray的代理。

后面的配置，根据自己的需求配置即可，配置好后，在手机上打开app进行访问，appscan就会记录流量，然后转发到xray。

这个时候xray已经开始检测了。

这里还有一个地方要注意：如果提示网站不安全，就需要安装证书，亲测iphone需要安装证书，安卓不需要
appscan证书下载：http://appscan
xray证书下载：http://xray_ip/

这里对于可以连接手机的扫描器来说，都可以使用此配置来全自动化扫描。

这个可以用来检测App、微信小程序、公众号等漏洞